Pull to refresh

Comments 812

Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием

Не стоит публиковать открытые дыры на хабре.
Все же сначала лучше написать администрации и уведомить, что будет публикация уязвимости через Х дней.
И, не теряя времени, начать собирать вещи и сушить сухари. Нафиг-нафиг.
Однако я находил две серьезных уязвимости на mos.ru, репортил их и проблем не было.
Я сто раз перебегал дорогу на красный свет и проблем не было.
UFO just landed and posted this here
Ну так и переходящий на «зеленый» регулярно погибают. Не имея на руках подробной статистики по ДТП на регулируемых пешеходных переходах, разбитой по группам «перебегающих» и времени суток, невозможно дать обоснованный ответ на вопрос что безопаснее: перебегать на красный или переходить на зеленый. Бытовая логика подсказывает, что зеленый безопаснее, но где гарантия, что это не устоявшийся миф или устаревшая информация? В конечном итоге, кому вы больше доверяете — незнакомому вам водителю, который может отвлечься, потерять управление или ехать на неисправном ТС или своей оценке?
Либо я метафору не понял, либо Вы не в ту степь пошли.

Допрос:
— Людям свойственно ошибаться, рано или поздно это всегда случается.
— Это ошибочное суждение, основанное на непонятных данных. Что если вы в состоянии поймать только тех, кто совершает ошибки? Это ведь исказило бы вашу статистику, разве нет?
(с) Лютер
Я один раз перебежал (поленился дойти до светофора) и отделался выговором. А мог бы и не выговором. Так что, не перебегаю с тех пор.
А мне как-то штраф возле родного универа вкатали. Продолжаю перебегать, предварительно убедившись в отсутствии помех (т.е. инспекторов).

Пора переходить на следующий уровень: не перебегать, а идти неспеша на красный.

Не надо так — если один-два таких человека пойдут неспеша на красный, то велика вероятность, что остальные на автомате полезут за ними, даже не посмотрев на светофор…
Я так и делал. Там (около универа) все равно не улица, а парковка, зря только светофор стоит :-)
То есть транспорт уже и не помеха?
Возле Университета было место, где народ переходил «накопившись». Когда человек 10-15 начинают одновременно переходить на красный — водители останавливаются…
У нас была кнопочка на столбе для такого.
В прошлом веке там никаких кнопочек не было точно.
Проблема была не серьезная, отделался трещиной в бедренной кости. С тех пор прошло лет 15, с тех пор не перебегаю, да и на зеленый перехожу после полной остановки машин ))
Мда… Я до сих пор с благодарностью вспоминаю водителя грузовика, который остановился, не поленился выйти и наорать на меня (лет 12 было). Что-то в голове перещёлкнуло, с тех пор не перебегаю. Если бы не наорал — так бы и бегал, наверно, какое-то время.
Однажды я перебежал на красный, было очень очень больно.
ОЧЕНЬ.
Я один раз перебежал, теперь не могу даже ходить.
Тоже сразу в паблик информацию кидали? Или как нормальные люди — в поддержку сервиса?
только поддержка у них, как по мне, не «нормальная»
Есть противоположный опыт пусть и не госниками, но около того. Да, без каких-либо последствий, но, как говорится «ложечки то нашлись, но ...».
а куда репортили?
как реагировала поддержка?
«пришлите то, что только что написали»?
я позавчера обнаружил, что с мобильной версии под Android (точнее, если User-agent браузера содержит строку "android") на mos.ru невозможно зарегистрироваться, зарепортил им, на запрос описания ошибки приложил подробное описание со скриншотами, только для примера указал номер телефона не свой, а все девятки, а мне в ответ
Для работы с Порталом необходимо вводить федеральные номера вида +7-9ХХ-ххх-хх-хх.

ха-ха… а я о чём писал?
*там ещё косяков, типа, «невозможно отправить обращение в техподдержку, будучи залогиненным», «при вводе кода подтверждения не срабатывает Enter — нужно кликать на „подтвердить“, etc… (как будто школьники писали)....
Через форму на сайте.
В первый раз реакция была так себе.
Во второй, более серьезный подход был, уязвимость тоже был серьезной. Можно было подать воду на любую жилую площадь. Т.е. скажем соседям сверху, написать 50 кубов.
Нет, почему, я бы вполне мог создать одноразовую почту на каком-нибудь зарубежном сервисе и написать им с него. Но, давайте честно, вместо того, чтобы прикрыть уязвимость, будут сначала пытаться искать отправителя. А сейчас, когда, я надеюсь, набегут скрипт-кидди или реально серьёзные люди до данных — они будут вынуждены сначала закрыть сайт, а потом латать дыры.
они будут вынуждены сначала закрыть сайт, а потом латать дыры.

Тем временем, сайт уже не работает.
он уже больше часа не работает :)

До сих пор не работает.

Экранирование для всех параметров сделать — это вам не тяп-ляп за пять минут… Боюсь, что большую часть будет быстрее переписать с нуля, в плане заботы о безопасности, чем пытаться обезопасить текущую версию…
Вчера сайт открывался быстро, и уязвимость уже была устранена (по крайней мере, эксплуатировать ее так, как описано в статье, не получалось).
«А давайте, если мы обнаружим дыру в заборе, то сначала напишем про неё. Меня не найдут. Но потом, если уж даже взорвут весь забор – они будут вынуждены признать несовершенство своего забора. И пофиг, что успеют разворовать за это время»…

Простите, но ничего, кроме такого вот жёсткого стёба, подобная логика не вызывает. На кону база по дипломам миллионов людей, которые не имеют совершенно никакого отношения к этому вот нашему «скрипт-спорту». И Вы сейчас открыто публикуете подсказки по тому, как конкретно (!) её ломать.
А если эту базу реально и по-крупному ломанут??? Я «выживу». Вы «выживете». Думаю, и большая часть комментаторов «выживет». А с остальным «подавляющим большинством» как быть? Об этом мыслей не было???

P.S. Во многом настолько резкий ответ продиктован чрезвычайно агрессивной реакцией Вашей образовавшейся «группы поддержки» (которую Вы уж точно не заказывали, она внезапно образовалась сама по себе, в чём Вам верю, честное слово!).
Я бы хотел рассказать о моих мыслях о причинах существования этой дыры:
1. Сайт делался на коленке и дыра просто была упущена. В 95% случаях я не первый, кто её заметил. Возможное решение: дабы ускорить пресечение пользования дырой рассказать об этом громко и чётко, так как официальное обращение растянуло бы этот срок.
2. Сайт делался на коленке, но разработчику было известно о дыре. И хуже того, было известно о том, что её используют. В 95% случаях я не первый, кто её заметил. Возможное решение: рассказать о дыре незамедлительно, чтобы у администраторов точно не было поводов и отмазок оставлять дыру незакрытой. К тому же сказать, что я всё скачал и так может сделать любой.

И раз уже в 95% случаях (цифра выдуманная, но я думаю, Вы со мной согласитесь) дыру уже нашли и ею пользовались, а все до сих пор живы — значит тут работает более крупная схема, для которой, наоборот, выгодно, чтобы подавляющее большинство было «живым». Это моя логика, но она может быть неверна.
1) Склоняюсь именно к такому варианту событий.
2) Тут, думаю, вряд ли. Умный админ-злоумышленник может сделать гораздо более изящный «ключик для своих». А глупый админ-злоумышленник просто не догадается прятать «вход» в настолько очевидных и палевных вещах. Впрочем, это просто ИМХО.

В любом случае, как уже много раз тут указывал – публичное оглашение всех деталей явно привлекло в дыру на порядки большее количество «желающих проверить», чем было ранее. И вот среди них уже могло быть немало настоящих злоумышленников.
И в итоге вреда от публикации получится гораздо больше, чем пользы (вновь напоминаю всю преамбулу истории с прошлогодними массовыми атаками, в которой пострадало множество обычных юзеров). Сейчас у нас нет никаких гарантий, что полная база уже не на чёрном рынке. Очень надеюсь, что это не так – в этом случае уже даже закрытие дыры никак не поможет, как понимаете…

Вот именно об этой простой логике (продумать все последствия) и именно об этой профессиональной этике («не навреди обычным пользователям») шла речь во всех моих комментариях…
Вы знаете, вы правы, я совершенно не задумывался о том, что это привлечёт внимание хакеров. И считаю, что правильно сделал. То, о чём вы говорите — очень притянуто за уши. Вы хоть раз заходили на этот сайт? Пробовали как-то с ним взаимодействовать? Запросики там смотреть? Вконтакте очень популярный сайт со сложной системой, «хакеров», пытающихся его взломать набирается тысячи ежедневно. Одноклассники те же. Сайт Пентагона, если уж говорить о классике. И это всё сложные сайты, и что-то я не замечаю, что их взламывали ежедневно из-за того, что много народа пытается это сделать. Тут же одна страничка! Она отправляет пост запрос. Страница при этом выводит ровно ту информацию, которая есть в БД, либо не выводит ничего. Совершить ещё одну ошибку на этом ресурсе просто невозможно. Если вы со мной несогласны — я не хочу спорить. Просто приведите пример возможной уязвимости этой страницы. Желательно проверьте, есть ли место ей быть. Если да — то я заберу свои слова обратно. Да и вообще — это государственный сайт, он первый в поиске по запросу проверки дипломов, им пользуются практически все уважающие себя работодатели, на него ведут кучу других государственных и негосударственных сайтов. А я, значит, внимание привлекаю.

P.S.: Скажу честно, привлечение внимание к сайту, на котором уже заделана дыра — очень уж, по-моему, притянутая придирка. Не то чтобы я пытаюсь обелить себя, но тут своей вины точно не вижу, ну не верю я. Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен. Но я надеюсь, что следующий свой ответ вы аргументируете так, что не согласиться с ним будет невозможно
А я, значит, внимание привлекаю.

Вы привлекаете внимание не к самому ресурсу, а к дыре в нём. Это несколько разные вещи, мягко говоря…

Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен.

Согласен. Тут по каждой из наших позиций – либо понимать, либо нет. Третьего просто не дано. И компромиссы невозможны, судя по всему.
UFO just landed and posted this here
Ну так с левой почты через TOR отправить. Или с protonmail какой-нибудь.
Абсолютно согласен! Ну опубликуйте Вы статью через неделю, дайте людям закрыть дыру. Да и кашу Вы заварили круче, чем если бы сообщили о проблеме.
А кто будет закрывать? Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

Это прямое следствие структуры госзакупок (кто предложил наименьшую цену — тот и молодец) и непонимая того, что сделать сайт мало — его ещё поддерживать нужно!

Пока это не изменится — вариантов нет. Не с кем там работать в настоящее время. Просто не с кем.

Вот когда накопится определённое количество «пожаров» и денег, срочно выделенных на «затыкание дыр» и появятся люди, с которыми есть о чём говорить, как в Гугле или Яндексе — тогда да, тогда смысл появится…

Гарантийное обслуживание никто не отменял.

Это не совсем так. Я сам некоторое количество лет назад был таким студентом, который по госзакупке в рамках университетской практики делал сайт для муниципального образования.
Поддержка там определённая, скорее всего, будет прописана. Но отношение подрядчика (работодателя студента) к этой задаче будет очень легкомысленным, т.к. те деньги, которые заявляют обычно за такие заказы обычно не очень включают в себя много поддержки.
В конкретно моём случае, несмотря на то, что я к задаче подходил ответственно, ресурсы разработки достаточно быстро были перекинуты с этого проекта на другие проекты коммерческих заказчиков.
Правда, в случае моего проекта это вылилось в не до конца реализованную функциональность, а не дырявый сайт. Но это тоже сомнительный плюс.
Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

Согласен.
Но очевидные коррупционные косяки структуры госзакупок не отменяют того факта, что от публикации этой информации теоретически может пострадать множество обычных людей, к этой самой структуре не имеющие вообще никакого отношения…

Вы путаете причину и следствие — люди страдают не от публикации, а потому, что "этой самой структуре" плевать на защиту данных этих людей.

Это вы путаете причину и следствие.
Люди страдают не столько от самих косяков защиты – сколько от того, что кто-то публично (!) озвучил эти косяки защиты. Что позволяет ломануться в эти дыры всем желающим – даже тем, кто ранее про эти уязвимости даже не знал. Я ведь не зря тут ранее уже вспоминал прошлогодние вирусные атаки – в которых абсолютно большая часть вины лежала как раз на тех, кто уязвимости опубликовал…

Единственные "люди", которые страдают от публичности — те, которые хотели бы этой публичности избежать. В данном случае — чиновники, у которых из-за этой публичности могут начаться неприятности.


Все остальные люди страдают от самого факта наличия этой дыры. Потому что если о ней не знает владелец сайта, либо знает, но недостаточно мотивирован на то, чтобы эту дыру закрыть — значит этой дырой пользуются те, кто нашёл её ранее и решил использовать в личных целях.


Что касается теоретического увеличения количества пострадавших из числа "остальных людей" в результате публичного раскрытия… доля истины в этом, безусловно, есть. Тем не менее, я считаю что эти люди пострадали не в результате full disclosure, а потому, что государство сначала не проконтролировало безопасность проекта, и потом сделало всё, чтобы отбить у исследователей желание следовать responsible disclosure. Если Вас не устраивает такая логика, и Вы предпочитаете считать виновным не того, кто является причиной проблемы, а того, кто причинил конкретный вред — тогда вина не на исследователе нашедшем и опубликовавшем дыру, а на том взломщике, который воспользовался этой дырой для нанесения вреда конкретным людям.

Единственные «люди», которые страдают от публичности — те, которые хотели бы этой публичности избежать.


Вы знаете, пострадать могут не только чиновники. Вы точно не пострадаете? Хотя, можете в подтверждение своих слов публично выложить: ваше ФИО, дипломы об образовании (серия, номер, год поступления, год окончания), также СНИЛС, ИНН, серию и номер паспорта, дату рождения, также ваш email для регистрации, логин и пароль от сайта, если вы на нём зарегистрированы?

Вы путаете пострадавших от того, что их данные не защищены, и пострадавших от того, что этот факт публично вскрыли.

UFO just landed and posted this here
Все остальные люди страдают от самого факта наличия этой дыры.

Прежде всего – люди страдают не «от самого факта наличия этой дыры». А от того, что кто-то этой дырой пользуется.
И вот после публикации – количество последних резко увеличивается, как правило.

Публично описывая дыру в заборе – вы сразу же резко увеличиваете количество тех, кто в эту дыру полезет. Поскольку среди тех, кто прочтёт эту вашу информацию-«подсказку» – находятся далеко не только добросовестные люди.

Поэтому важнее всего – закрыть дыру, а не раструбить о ней по всей сети. Если, конечно, вы заботитесь именно о людях (чьи данные лежат в той базе), а не о собственном пиаре или каких-то иных «принципах» (которые у вас почему-то оказываются выше людей)…

Как ещё понятнее объяснить этот момент, на каком языке???

Да всё вполне понятно. Конечно, закрыть важнее, и лучше всего сделать это по-тихому. Никто с этим и не спорит.


Проблема в том, что текущая политика такова, что государство не заинтересовано в том, чтобы закрывать дыры по-тихому, оно заинтересовано в том, чтобы люди опасались эту дыры искать, а найдя опасались о них рассказывать. Эта стратегия, при успехе, приведёт к тому, что чиновники не будут нести никакой ответственности за дыры, потому что все, кто о них знают будут молчать или тихо использовать в личных целях. Больше всех при успехе этой стратегии пострадают как раз обычные люди, а чиновники и криминал будут в шоколаде. И единственный способ сорвать эту стратегию — full disclosure, который и чиновникам не даст замести проблему под ковёр, и криминалу попортит налаженный бизнес.


И хотя в краткосрочной перспективе может пострадать чуть больше обычных людей, в долгосрочной это пойдёт им на пользу.

Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.
Даже при всей моей нелюбви к сами-знаете-кому… Но дискредитировать собственные же дипломы – явно не в их интересах. Особенно после совсем недавнего скандала (ну, вы поняли, о ком речь)).

Для любого государства (каким бы… эээ… «суверенным» оно ни было)) этот вот «вопрос престижа» своих документов – гораздо важнее вопросов личных интересов отдельных персон (максимум, подобное разрешается лишь в виде «отдельных случаев»). И это прекрасно понимают даже самые отмороженные личности.

Поэтому тот самый пропагандируемый вами «full disclosure», конкретно в данном случае – как раз-таки ставит под удар 99% совершенно обычных людей, лишь 1% из которых «блатные» и всякие прочие «придворные».
Стоит ли оно того???
Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.

Никакой конспирологии, это абсолютно прозрачные выводы из факта преследования по закону тех, кто пытался сообщать о дырах по принципу responsible disclosure. Понятно, что не у всех есть возможность выплачивать за это вознаграждения, но в любом случае реакция на responsible disclosure должна быть настолько позитивной, насколько это возможно — если не могут дать денег, то хотя бы могут выложить благодарность за бесплатную помощь в улучшении безопасности их сайта… хотя бы на этом же самом сайте. Когда вместо этого исследователей пытаются найти и наказать — где тут конспирология, ведь всё совершенно очевидно?


Более того, по текущим законам исследователи действительно виновны, если действовали без предварительного разрешения владельца сайта. И вот пока эти законы никто не пытается изменить, или хотя бы саботировать их применение на практике — говорить что в таком отношении заинтересовано государство вполне корректно.

Я тут уже неоднократно писал о том, что любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность.
Поэтому все дальнейшие рассуждения про «найдут и накажут» – простите уж, но выглядят крайне сомнительно. Особенно в свете нынешних «тёплых(сарказм)» отношений с Западом – где богатейший выбор почт на любой вкус…

А решить все описанные проблемы – в их же интересах. Тут же ж понты дороже результата.

Я не хакер, но около 20 лет активно интересуюсь безопасностью с целью защиты своих серверов как админ и своих проектов как разработчик. Лет 5 назад написал здесь статью Немножно анонимен. В общем, в категорию "сколь-либо стоящий спец" я, вроде бы, должен попасть. И я Вам уже писал, что для обеспечивания уровня анонимности "выше среднего" придётся и деньги тратить, и, скорее всего, совершать противозаконные действия. Просто комбинация Tor и VPN это, в моём понимании, начально-минимальный уровень анонимности — против государства этого уровня недостаточно.


Если Вы знаете какой-то другой способ, как обеспечить анонимность против розыска спецслужбами, который не требует ни заметных финансов ни противозаконных действий — просветите нас, пожалуйста. А без конкретики "любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность" звучит как "тыж программист".

Да к чему вообще такие заморочки? ))
Как минимум, пользоваться текущей внешнеполитической ситуацией: когда «наши» ресурсы особо не выдают информацию «ихним», но, что самое главное – и наоборот (поправьте, пожалуйста, если ошибаюсь).

Ну, а всякие там Торы и прочие… ИМХО, это либо уж для совсем левых дел, либо для «шапочек из фольги».
Да к чему вообще такие заморочки? ))

Чтобы желание сделать доброе дело не привело к реальному сроку.


И что касается наших и ихних — скорее всего в делах вроде розыска мелких хакеров они продолжают сотрудничать, потому что это выгодно обеим сторонам. Именно поэтому на Tor полагаться нельзя — может ФСБ он и не по зубам, но вот АНБ его прослеживать в состоянии, как минимум частично.


Подход в стиле "открыть новый аккаунт на gmail для отправки письма, они ничего нашим не выдадут" — это и есть вариант "одноразовый" этичный хакер.


Но я понял, что Вы имели в виду под "обеспечить себе максимальную анонимность" — нет, это не максимальная, и нет, это не помешает Вас найти, причём довольно быстро.

Я вовсе не спорю, что текущее российское законодательство конкретно в сфере IT, мягко говоря, «не блещет интеллектом» (впрочем, оно и в прочих сферах особо не блещет, но это уже совершенно другие вопросы))…

Но вот конкретно в том (ну, если уж принять за некую «действующую модель» именно Ваше описание), что касается всяческих «гадостей» друг о друге между противоборствующими структурами – вот тут эти точно друг другу ничего не дают. Ибо «интересы» там всякие, «лояльность агентов» и прочие сопли…

Поэтому, ИМХО, хотите «не светиться» в российских структурах – всяческие Gmail и иже с ним. Хотите наоборот – всяческие Mail.ru и иже с ним. Ну, и так далее…

По-моему, рассчитывать на холодные внешнеполитические отношения чтобы обеспечить себе анонимность по чисто уголовному расследованию, в котором не замешаны ни политика, ни большой бизнес, очень опрометчиво.

Ну пока действует – почему бы и не воспользоваться, ради благого-то дела? Особенно если заботитесь действительно об оказавшихся под угрозой пользователях…

Тем более, что на Западе «белый» хакинг вовсе не запрещён, насколько помню. Поэтому вполне могут даже и открыто отказать в предоставлении данных.

P.S. Разумеется, это вовсе не «панацея» – есть и другие способы скрыть свою личность гораздо более надёжно (особенно для реального специалиста). Это всего лишь как наиболее простейший вариант, самый доступный даже для тех самых «кидди»…

Откуда у вас уверенность, что пока действует? Мне бы не хотелось проверять на своей шкуре, до, как минимум, официального выхода США или России из договоров о правовой взаимопомощи, включая выход минимум одной из них из Интерпола. Вот кстати, пример взаимопомощи между государствами в куда более худших отношениях чем Россия и США: "с января по июль 2015 года Генпрокуратура РФ приняла решение о выдаче на Украину 25 запрашиваемых лиц, в то время как украинская сторона решила выдать российским силовикам только 12 беглецов." Вы будете рассчитывать на то Россия не выдаст вас Украине и наоборот по внешнеполитическим соображениям, если совершите обычное уголовное преступление.

Я же указал, что это лишь самый простой способ, из разряда «минимально необходимых». Ну для кого был PS-то? )

Я вообще не считаю это способом.

На мой взгдяд все было сделано правильно.

Интересный тренд. Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.
— Добрый день господа, на вашем ресурсе по адресу … обнаружена уязвимость…
Уведомляю вас что через семь дней будет размещена публикация о подобном случае, она поможет вам мотивировать разработчиков для устранения несоответствия.
как то так.
И в ответ:

Добрый день, Александр Дорощенко, на вас заведено дело о неправомерном доступе, о шантаже и ещё какое-нибудь. Ваша информация очень важна для нас, мы обязательно с вами свяжемся в ближайшие 10 лет.

-=-=-

Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
Поддерживаю двумя руками. Если веб-сайты хотят получать информацию об уязвимостях — пусть, как минимум, разместят отдельный раздел на сайле для них, где гарантируют, что попытка им помочь не приведёт, хотя бы, к тому, что нужно будет тратить кучу денег на адвоката. Ну а если там условные 100 рублей обещают — тогда ещё лучше.

Но по умолчанию — открытая публикация, желательно в ночь на воскресенье — и пусть развлекаются. Топикстартер итак им одолжение сделал, что в понедельник утром статью опубликовал…
UFO just landed and posted this here

ФСБ, СОРМ и прочие? Не-не, я понимаю, можно сидя в южной америке в кафе без камер с бесплатным wifi с только что купленного ноутбука отправить им сообщение, вопрос был задан со словом "мешает". То есть не препятствует, но, эээ, немного мешает, в плане что когда будут искать крайнего, могут и найти даже если не подпишешься.

UFO just landed and posted this here
Анонимно уже не получится, боюсь. Возможно, по логам можно узнать, кто это так интересовался сайтом в три ночи, что напрудил аж 14 миллионов гет-запросов (или что-то в этом духе)
А чем это отличается от публикации на хабре? Кто мешает завести дело сейчас?
Шантажа то нет. Никто не угрожает что уязвимость будет опубликована.
Дело на что? HTTP GET запросы не запрещены. Размещение с дыркой (когда можно достать обычными запросами) разве не тождественна публичному размещению, т.е. виновности разместивших ПД с нарушениями, а не увидевших и прочитавших их?

Аналогия которую имею ввиду — валяющийся среди людной площади документ с грифом секретности.
Впрочем, понимаю что такая аналогия просто для яркости и простоты дела, и не стоит к ней цепляться сильно.

И конечно, всецело согласен с много раз вышесказанным, — что про эти уязвимости, да по госсайтам особенно, можно сообщать только хорошо продумав вопрос анонимности с позиции клинического параноика (адекватного человека 21 века).
Правильно думаете. А то будете потом эти аналогии следователю рассказывать. Которому плевать на SQL-инъекции.
и который SQL-инъекцию воспримет как героиновую и заведет еще и дело о распространении наркотиков.

«Ну вы же сами сказали — инъекция, сами во всем признались, что делали инъекции»
У вас ошибочные представления о том, как работает система правосудия. И я даже не говорю о российском правосудии.
Следуя вашей логике, взломщик, открывая дверь ломом, вовсе и не взламывает её, а только лишь пользуется тем, что она недостаточно прочно заперта. Ну а воров вообще всех без исключения следует немедленно отпустить из тюрем. Если, скажем, кто-то положил свой телефон в задний карман — по вашей логике он, считай, сам предложил вору этот телефон аккуратно вытащить.
По существующим в России законам автор статьи совершил противоправное деяние, причём умышленно.
Давайте продолжим аналогию с телефоном в заднем кармане. Вот кто-то видит телефон в заднем кармане, и сообщает: «Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
Теперь если кто-то видит телефон в заднем кармане, аккуратно его вытаскивает, показывает владельцу и говорит: «Чувак, я у тебя вытащил телефон — но я не вор, а так только, проверял, получится или нет». Тут уже налицо противоправное деяние, и стоит лишь вопрос вины (умысел, дееспособность и тд). В теории бремя доказывания по уголовным — на обвинении, но в России «особая» презумпция. Та же ситуация, если кто-то целенаправленно мудохает форму, пытаясь извлечь данные из базы — тут тоже налицо противоправное деяние, и тоже стоит лишь вопрос умысла и тяжести.
Я еще лучше аналогии придумал:
— Идете по коридору, а там дверь у соседа открыта… и т.д.
— Идете вы по парку, а там красивая девушка без трусов и без сознания лежит на скамейке в позе удобной…
— А тут раз и машина стоит заведенная, а тебе так хочется узнать, а ездит ли она.
Подобные рассуждения в голову тоже приходили, конечно. Что с одной стороны можно описанный автором случай трактовать как кражу со взломом. Ну или кражу через вход в дверь, которую забыли закрыть.
С другой стороны, это не прямой аналог кражи физических предметов, поскольку здесь всё что было «в квартире» там же и осталось, и даже ни одной бесполезной фарфоровой статуэтки не повреждено. Но у субъекта проникновения в доме появилось всё ровно то же, что было тут в квартире, с помощью чудесного волшебного 3D принтера-копировальщика. Какой тут ущерб?.. Отсканируй «супер3Dсканером» у меня телефон торчащий из кармана и «отсупер3Dраспечатай» себе такой же девайс — да сколько хочешь.

Тут ближе именно что-то связанное с документами и тайной (коммерческой, гос, ПД и т.п.). Но бросать документы такие посреди прохожей площади (размещение в Интернет без аудита безопасности) — нельзя, это преступление того кто «бросил», а не кто подобрал. Это взгляд с другой стороны. Разве не логичен?
К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода? Причём даже ещё не нажавших кнопку отправки, — налицо же уже преступный умысел, в поле разработчиком ожидался другой ввод, а это уже явное покушение. Ведь бред же.
Где грань?
Что является преступлением, а что нет, определяется не аналогиями, не материальным ущербом или общественной опасностью, а статьями УК. Аналогию я приводил лишь для того, чтобы показать, что такое противоправное деяние.
В случае кражи — одна статья и одни действия, в случае папки с секретными документами — другая статья и другие действия, в случае неправомерного доступа к компьютерной информации — третья статья и совсем другие действия.
Можно поспорить о том, разумны ли такие законы или нет — но факт нарушения это не отменяет.
К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода?

Умысел требует доказательства. В случае однократного ввода буквы «a» это будет крайне затруднительно.

Как по-вашему должны квалифицироваться действия по публикации найденной на улице папки с грифом "Совсекретно", даже если пришлось тесёмочки развязывать, а может даже пломбу срывать? Естественно, при условии, что к гостайне ты допущен не был, подписок о неразглашении не давал и т. п. По совести и по действующему в РФ УК?

Вот, к примеру, Австралия, наши дни. Волнуюсь за чувака.

Надеюсь, что законодательство Австралии в этом плане аналогично нашему, а правоприменительная практика сильно отличается в лучшую для граждан сторону.

Где грань?

Статья 17 УПК
«Судья, присяжные заседатели, а также прокурор, следователь, дознаватель оценивают доказательства по своему внутреннему убеждению, основанному на совокупности имеющихся в уголовном деле доказательств, руководствуясь при этом законом и совестью.»
Вот где-то там, во мраке внутреннего убеждения и совести эта грань пролегает. Не очень утешительно, но dura lex.
«Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
Не вижу разницы между этими двумя ситуациями. «Впрочем» относится к обоим одинаково.
Вы еще напишите «TCP/IP не запрещен». В общем случае наличие уязвимостей не тождественно публичному размещению.

Автор осуществил несанкционированный доступ к информации без согласия владельцев системы и пользователей, чьи данные там обрабатываются.

Ну, эксперт проводящий анализ кода сайта вполне может написать "Разработчиками сайта предоставлена возможность любому желающему выполнять произвольные SQL-запросы к базе данных путём прямого включения данных HTTP-запроса в SQL-запрос. Технически это означает, что вся база данных выложена в публичный доступ". Адвокат обвиняемого сообщит "Прошу суд обратить внимание, что в тексте пользовательского соглашения не было ограничений на виды отсылаемых HTTP-запросов, то есть мой клиент не знал и не должен был знать, что некоторые виды отсылаемых запросов противоправны. Исходя из того, что целевое назначение данного сайта раскрывать персональные данные выпускников вузов третьим лицам, мой клиент не знал и не мог знать, что федеральное предприятие раскрывает персональные данные выпускников без их согласия. Мы имеем все основания считать, что федеральные предприятия не нарушают законы РФ, в частности законодательство о защите персональных данных граждан и выкладывая персональные данные в публичный доступ озаботилось наличием согласия субъектов персональных данных или имеет законную причину не иметь этого согласия для обнародования."

Позвольте уточнить, если вы положили свой телефон на стол в публичном месте — вы его тоже отдали в «публичный доступ»?
А если «эксперт по открыванию дверей» проникнет в вашу квартиру — можно тоже считать, что он «не знал и не мог знать» что доступ в квартиру ограничен?
Лежит на улице телефон, ты его поднял, ткнул ВКЛ, пароля нет, посмотрел контакты, нашёл контакт «мама» и позвонил "-здравствуйте, тут ваш телефон посеял...". Всё, п##ц? Должен налететь бобик гвардейцев кардинала, повесить три пули в голову, реанимировать, кинуть в любимых-граждано-возку и впаять 50 лет строгача? Ну как, контакты же чужие смотрел, использовал чужую вещь, и вообще ты хакер и общественно-опасный тип. Или что там?

Доступ в незакрытую квартиру — вот ты сосед, увидал что незакрыто, номеров телефонов нет, фатально прям никуда не торопишься, понимаешь что открыта она на видном месте и наверняка его дурака (возвращаясь к гос.сайтику, но в случае если сначала предупреждать о баге приватно) обчистят — и решил зайти внутрь и дождаться хозяина из благих побуждений (соответственно чтоб не обчистили). И? Хрясь, наламывается два БТРа собров, дубинят всё что можно, 150 лет одиночки с конфискацией и работами на урановых рудниках.

Вот что-то такое бредовое в наказаниях за сообщение уязвимостей я вижу.
И похоже сильно не я один.

И да, конечно, закон уже должен быть давно для таких случаев, чтоб сообщать можно было спокойно — всем же лучше.
То что автор кинулся сразу багом на публику, — к сожалению, и не одобряю, хотя понимаю — мне видится от бесполезности иного способа действий для достижения цели «оперативное устранение уязвимости» относительно некоторых контор в настоящий момент.
Вы утрируете. Между тем мы обсуждаем реальную ситуацию.
Даже за кражу телефона никто, конечно, стрелять не будет.
Если вы зашли в квартиру соседа, у вас будет правдоподобное объяснение ваших действий. Прокурору придётся доказывать ваш умысел (кражу или что там вам будут вменять).
В общем ничего бредового. Я говорю о реальной статье УК и реальном наказании, которое грозит ТС. Нужна такая статья или нет — разговор отдельный, вы смотрите с одной стороны, я смотрю с обоих. Главный аргумент «за» — если за противоправный доступ не наказывать, то реальные злодеи будут прикрываться white hack-ингом. Arguable, но не бред.

Прокурору в любом случае нужно доказывать умысел, прямой или косвенный. Только в редких случаях можно вынести уголовный приговор без доказательств умысла, только по объективной стороне дела.

Я имел в виду, что в одних случаях ему это будет сделать проще, а в других сложнее.

В идеальном мире, с реально работающей судебной системой, такое вполне могло бы прокатить. Но мы живём в другом мире.

Мы живём в мире, где вполне возможно обеспечить себе максимально возможную анонимность, особенно в наших условиях (полной не бывает вообще нигде, по определению).

Так, миль пардон – на… уя вы тут советуете людям подставляться под реальную статью и намеренно уходить от законных решений? Вместо того, чтобы просто максимально честно и максимально безопасно «слить» всё либо напрямую админам, либо их начальству (либо ещё выше)?

Гапоны, помнится, были ещё век назад. Неужели до сих пор сохранились? Крайне не хотелось бы в это верить – при наличии реальных объяснений с вашей стороны, конечно же…
Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.

Была года два назад история в Словении: студент, уязвимость у гос. органов, 15 месяцев условно. Детали здесь.
Ссылка на Микротех уже не работает — публикация скрыта.
Слабо представляю, как тут можно вырулить по-хорошему: неправомерный доступ к информ.системе уже произведён, перс.данные скопированы из «защищённого» контура — т.е. формальные признаки правонарушения налицо. Не в интересах автора лично обращаться к федералам, они не поймут благих намерений.
Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию. Какие могут быть в таком случае претензии?
>данную историю услышал в кафе от незнакомых лиц
В каком кафе? Какие лица?
UFO just landed and posted this here
«В какое время происходила беседа?» -> Изъятие записей видеонаблюдения в кафе и с прилегающей территории -> Проверка наличия на записи как самого фигуранта, так и двух этих лиц… не обнаружены.

«Что кушали в кафе, на какую сумму, у кого заказывали?» — опрос сотрудников кафе, изъятие чеков с фиск.накопителя кассы, сопоставление… не подтверждается.

/Это я, как бы, за дознавателя сейчас играю…
В электричке два студента переговаривались. Сидел спиной и лиц не видел.
Тот самый эпичный вариант, когда пытясь отмазаться от одного подозрительного действия, человек нарушает закон уже явно — даёт заведомо ложные показания(307 УК РФ)…
Так вроде как дача заведомо ложных показаний применима только к свидетелям (тому кто проходит по делу, как свидетель), но не к обвиняемому.
А он на данный момент ещё не обвиняемый… (:
Коллеги, давайте будем точны в терминах.
А он на данный момент ещё не обвиняемыйосужденный
Коллеги, давайте будем точны в терминах.
UFO just landed and posted this here
Ну, понятно, что сечас автору уже просто ничего менять не стоит. И заходить на хабр я бы на месте автора уже поостерёгся. Это-лишь вариант, как исходная информация могла бы быть представлена, чтобы задача «найти первоисточник слива» стала почти нерешаемой.

Не надо пытаться играть на чужом поле, считая себя умным, а правоохранительную систему — идиотами. Ибо потом "суд с недоверием отнесся к показаниями обвиняемого", и привет.

Нет оснований не доверять сотрудникам полиции (с)
Надо играть на чужом поле, считая себя самым умным, а правоохранительную систему — идиотами (ибо идиоты они и есть). Ибо суд в любом случае отнесется к показаниям обвиняемого с недоверием. Единственный вопрос — лучше не прохладные истории выдумывать, а просто молчать, у нас в стране пока презумпция невиновности, а что-то самостоятельно доказать идиоты из правоохранительных систем в судах второй инстанции не способны.
и лог провайдера со входящего впн сервиса на 5 гб
Ну, строго говоря, дамп на 5 гигов может лежать на виртуалке, болтающейся условно-незнамо-где, а у автора на домашней машине — в лучшем случае следы от ssh-а на ту виртуалку.
Студенты чётко и внятно переговаривались SQL запросами :)
UFO just landed and posted this here
Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию.

«Ствол не мой, случайно нашёл — иду сдавать, даже заявление вот уже написал.»
Не вижу разницы.
Только перед этим нужно почистить компьютер и удалить логи подключения у провайдера.
IP адресс с которого сделал скан — все еще на сайте. Так что поздно подтирать.
а толку? Если ТС делал со своего IP, то найти его можно простым grep'ом по логам nginx'а, если в GET параметрах, если POST и он логгируется, то чуть сложнее
*если POST и он НЕ логгируется
Достаточно добавить «so» в начале url'а: «habrahabr.ru» -> «sohabrahabr.ru», «geektimes.ru» -> «sogeektimes.ru».
они не поймут благих намерений.

Я бы тоже не понял. И если само скачивание данных (при условии, что потом он их удалил) могу принять за дейятельность по исследованию уязвимости (с теоретически благими целями), то сама публикация данной статьи с инструкцией по взлому — действие однозначно преступное.

+ Если бы на моём сервисе нашли уязвимость, сообщили о ней и после фикса написали бы статью, я бы только спасибо сказал(ну и если б была возможность, отблагодарил бы материально). А не сообщить и написать статью, чтоб набежали скрпитс кидди и засрали базу — это уже какое-то вредительство.
как я писал сильно ниже, не надо путать себя и госструктуру, в которой всем на все пофигу, пока люлей не прописали.
И всё таки можно было сообщить а уже в случае игнора написать статью, но ТС даже не попытался

Да он же:


  1. Бессмертный
  2. Не верит в карму
  3. Владеет карточкой выходом из тюрьмы
Такой SQL injection банально показывают в ВУЗах, когда учат студентов, «как не надо делать».
Преступное действие это этот ресурс вообще с такой детской SQL injection. И по хорошему наказать надо начиная с руководителя этого всего дела и до самого низа — исполнителя.

Да, но это не оправдывает автора статьи.

UFO just landed and posted this here
За то, что есть понятие врачебная ошибка, но нет понятия ошибка программиста. Хотя ущерб уже давно сопоставим в некоторых случаях.
Если он не знает что такое SQL-инъекция и не способен написать безопасный код то его задачи должны ограничиваться интернет-магазинами и домашними страничками всяких продавцов шаурмы.
Что значит «сопоставим»? Вы меня как программиста, обижаете. Предыдущая система которую я писал имела цену ошибки намного выше чем обычные выплаты людям, родственники котоых погибли по чьей-то ошибке.
Я же написал «сопоставим в некоторых случаях». Это значит что в некоторых случаях он такой же, в некоторых случаях он ниже, в некоторых случаях выше.
И в мыслях не было программистов обижать.
Это просто была неудачная шутка. Но в ней есть доля шутки, конечно.
Странно, что цену врачебной ошибки здесь рассчитывают в размерах выплат родственникам пострадавших…
Я всегда полагал, что человеческая жизнь бесценна.
Тогда её вообще бессмыссленно с чем-то сравнивать. Но тем не менее врачей за что-то штрафуют (в некоторых цивилизованных странах). Хотя надо просто простить — это же просто ошибка, стоимость которой всё равно невозможно оценить.
Каким образом из того, что цена ошибки неизмеримо огромна, следует, что за эту ошибку не следует наказывать?
Софистикой попахивает, простите.

Я лишь обратил Ваше внимание на то, что сравнивать дорогостоящую в финансовом смысле ошибку некорректно сравнивать с ошибкой ценой которой человеческое здоровье и, тем более, жизнь.
Люди, заявляющие о «бесценности человеческой жизни» либо — законченные идеалисты, которых ни к каким серьёзным решениям подпускать нельзя, либо — не менее законченные циники, которые пытаются делать вид, что уж то, чем они занимаются никакого отношения к человеческим жизням не имеет.

Если мы не можем оценить человеческую жизнь, то она, я извиняюсь, обесценивается. Как мы можем, скажем разрабатывать и применять лекарства у которых, на минуточку, в качестве возможного побочного действия имеется, скажем, «внезапная смерть»? А таких — не одно и не два.

Можно спорить о том, сколько стоит человеческая жизнь, но без возможности, скажем, сравнить экономию на газе где-нибудь в Великобритании с её стоимостью — как мы можем оценить последствия этой экономии? Люди замерзают насмерть — пусть и нечасто. Это уже трагедия или ещё можно на рыночную экономику уповать? Как оценить, если «жизнь бесценна» (то есть ничего не стоит — чего-то стоит только возможность получить штраф в суде)?
Людям делающим категоричные выводы — зачастую свойственно ошибаться.

Меня поражает, как уже второй комментатор манипулирует логикой: «бесценно» == «ничего не стоит»…

По поводу лекарств скажу лишь, что имею привычку читать их инструкции ДО применения и оцениваю их потенциальную пользу с учётом вероятных побочных действий.

Ну а про газ даже как-то не ловко получается. Я полагаю, что стоимость газа повлияла на описываемую Вами смерть в последнюю очередь. На сколько мне известно в России, например, не отключают отопление человеку зимой не смотря ни на какие задолженности.

Пожалуй, я воздержусь от дальнейшего участия в данной ветке обсуждений.
Ну а про газ даже как-то не ловко получается. Я полагаю, что стоимость газа повлияла на описываемую Вами смерть в последнюю очередь.
Я боюсь, что вы никогда не были в Великобритании и вам это просто никогда не интересовало. «Топливная нищета» — это хроническая проблема в этой стране. Уже далеко не первый год. Вот одна из недавних статей на эту тему.

На сколько мне известно в России, например, не отключают отопление человеку зимой не смотря ни на какие задолженности.
В России — во многих случаях это технически невозможно. Система теплоснабжения не позволяет отключить от отопления одну квартиру.

Меня поражает, как уже второй комментатор манипулирует логикой: «бесценно» == «ничего не стоит»…
Именно так. А как иначе? Огромное количество вещей, так или иначе, выливается в человеческие жизни. Повысили предельную скорость на автомагистрали? Получили дополнительно несколько смертей в год. Оправили солдат в Сирию — привезли оттуда несколько гробой и несколько заказов на С-400. Ну и то же самое разрешение или не разрешение отключать газ злостным неполательщикам — сюда же.

Как вы всё это собрались оценивать при условии, что жизнь у вас «бесценна»?

По поводу лекарств скажу лишь, что имею привычку читать их инструкции ДО применения и оцениваю их потенциальную пользу с учётом вероятных побочных действий.
Это пока у вас есть возможность это делать — то есть вы находитесь в сознании и можете прочитать аннотацию. А если нет?
Скажем так, я не верю что есть вещи, которые нельзя измерить в деньгах. И не понимаю чем человеческая жизнь принципиально отличается от жизни, например, собаки. Вопрос только в контексте оценки и в оценщике.
Я Вас понял, но у меня убеждение, что если человеческая жизнь (или жизнь животного) и может быть оценена, то только не в материальных мерИлах.
Да, Вы верно говорите, контекст имеет значение, следовательно оценка относительная, и отсюда я делаю вывод, что оценка весьма условная и субъективная.

Честно говоря, так не далеко до сложной философии дойти начав, например, рассуждать ценнее ли жизнь одного человека, чем другого. Я бы предпочёл не углубляться в подобные рассуждения.
Но ваше суждение можно отнести к чему угодно. Не существует объективной цены чего-то, существует только рыночнаяя или кем-то выставленная (в условиях когда рынка нет, например). Значит ли это что всё в мире бесценно? Да не, мы просто назначаем цены какие нам нравится и разрешает рынок и живём с этим.

Интересно что для вас ценность жизни это сложная философия, а для меня в общем-то понятный выбор.
Я всегда полагал, что человеческая жизнь бесценна.

Ваше мнение противоречит Конституции России: "Человек, его права и свободы являются высшей ценностью." Пускай высшая, но ценность.

Я полагаю, что «бесценно» означает «очень, сверх ценно». Да и словари говорят о том же.
Так что ни каких противоречий нету.
Вы путаете врачебную ошибку и некомпетентность/халатность. Программист, оставивший такую дыру — именно что некомпетентен.
Врачебная ошибка по моему пониманию в первую очередь исключает некомпетентность и халатность.

Если врач забыл назначить необходимые анализы — это халатность.
Если врач спутал названия лекарств и выписал не то — это некомпетентность.
Если (оптять же условно) все симптомы и проведенные анализы указывали на рак, врач диагностировал рак, а оказался туберкулез — это врачебная ошибка.
Неистово поддерживаю. 15 лет вижу все эти вещи и ничего не меняется. Покажите людям уже параметризованные запросы наконец хотя бы.
UFO just landed and posted this here
Вы правда не понимаете почему?
Посадят еще пару WhiteHat'ов или программистов, думаю додумаются, и таких статей тоже не будет. В итоге годами базы будут уходить на черный рынок.
Конечно, госорганы, которые не проводили контроль качества (потому что хотели сэкономить) не виноваты. Это виноваты студенты, которым на какой-нибудь университетской практике поручили разработать прототип и фрилансеры, которые его потом «допилили» до «рабочего» состояния.
А те, кто на этом пилили экономили — не виноваты. Студенты и фрилансеры их обманули!
Зато посмотрите, сколько лайков. Это же так круто — обнаружить проблему на государственном сайте.
UFO just landed and posted this here
Всё наоборот. Скачивание — действие преступное, независимо от того, удалил или нет.
А публикация сведений о уязвимости — не преступное действие. Хотя она косвенно свидетельствует о совершении преступления.
Совершенно очевидно, что у автора не было никаких благих намерений.
UFO just landed and posted this here
Но сам то IP адрес с которого производилась выкачка то остался в логах. По этому все еще можно идентифицировать автора. Если же автор конечно не через proxy или tor все делал.
Конечно же, не со своего IP)
Но первую, пусть и случайную, инъекцию вы наверно все же сделали со своего IP. Если вы не выждали месяцы, то с высокой вероятностью подозрения пойдут именно на него, если конечно не каждый второй пользователь натыкался на эту проблему самостоятельно.
Тогда надо и сюда заходить через анонимайзер, и зарегиться тут накануне написания статьи тут, иначе начнут серьёзно искать, могут вычислить по старым сообщениям, логам с этого сервера… ))
Всё, как по учебнику) анонимайзер-опасно, таким образом доверяешь свой ip ему, если выбрать правильный браузер. А аккаунт действительно свежий. Жаль, что на основной аккаунт карма не повлияет(
Отлично, ещё cookie надо стирать да localStorage чистить, а то сейчас веб программисты ух! Все им любопытно и хочется узнать, даже когда выходишь из учётки.
Проще воспользоваться браузером в свежей виртуальной машине с её последующим уничтожением. И, конечно, это должен быть TorBrowser.
Tails есть для такого или Whonix лучше для виртуалок.
По учебнику — это когда статью и комментарии пишет в виде изложения сторонний человек. В противном случае найти вас будет легче, чем вы думаете (тут очень кстати упомянутый вами «основной» аккаунт).
Вообще да, существуют методы, которые по набору комментариев, оставленных человеком, позволяют человека идентифицировать. И чем больше комментариев, тем выше точность результата.
тут очень кстати упомянутый вами «основной» аккаунт

Не факт, что он существует.
А аккаунт действительно свежий. Жаль, что на основной аккаунт карма не повлияет(


Как бы теперь кого нибудь невиновного с Хабры не забрали… )
Жаль, что на основной аккаунт карма не повлияет(

А ты напиши, какой у тебя основной, товарищ майор будет благодарен и добавит тебе кармы :)
omg, если это действительно так, то снимаю шляпу
Ваши скобочки могут выдать вас. (отнюдь не как lisp'ера)
Я уже намекал автору об этом выше (и судя по тому, что поток комментариев резко прекратился, можно предположить, что посыл был услышан). Но конкретно по скобкам — это сейчас один из самых распространенных стилей среди молодежи (что соответствует представленной нам легенде о студенте). А вот некоторые его пунктуационные ошибки весьма и весьма непопулярны… ;-)
Надо без знаков препинания писать, как в пирожках.
Или использовать двойной автоматический перевод)
Ждём продолжение — статью о деанонимизации автора статьи… Я ради любопытства попробовал — за час с гуглом не получилось. Но при наличии доступа к базе хабра автора можно легко деанонимизировать по нескольким характерным признакам, типа систематического использования «ё».
по нескольким характерным признакам, типа систематического использования «ё».

Ждём

Что-то и вы подозрительный какой-то))
Использующие букву «ё» вообще страшные люди — им не лень тянуться до неё.
А мне норм «ё» набирать. У меня пальцы обычно расположены не в районе ФЫВА, а в районе ЙЦУА) — так удобнее кодить.
К сожалению, это палка о двух концах, как верно уже написали выше. По-хорошему (и по-совести), нужно сообщать разрабам. Но внятного общего механизма пока нет и можно навлечь приключений на свою точку. Это смотря на кого нарвешься.
Можно попробовать петицию создать, чтобы министерство связи разработало такой механизм хотя бы для гос.порталов (с)Арказм
Писать надо обращения в РосКомНадзор, они обязаны принять обращение и в положенный срок ответить о принятых мерах по устранению недостатков. В РосОбрНадзор писать бесполезно: они облажались и не в их интересах принимать правильные решения в данной ситуации.
В роспозор? Вы серьезно предлагаете писать людям, которые сотню раз проявили свою некомпетентность?

Да, я серьезно.
То, что они лажают, еще не повод игнорировать их существование и лишать их возможности заниматься прямыми служебными обязанностями.
Надо озадачивать людей и контролировать исполнение :)

Ну кстати да. В данном случае эксплуатация уязвимости настолько проста, что она под силу даже инспектору роскомнадзора, вооруженному internet explorer-ом на windows XP. Как следствие, процедура «взаимодействия» роскомпозора с минобразом оказывается для первого простой, понятной и сводящейся к базовой операции «выписать предписание» + «проконтролировать исполнение», причем выполнение обоих операций не требует отрыва пятой точки, а обе операции автоматом попадают в критические для них KPI — «обработано обращений граждан», «проведено проверок по обращениям граждан», «выписано предписаний».
«некомпетентность» — это мутация в ДНК вообще всего гос. аппарата, тем не менее это прямая обязанность Роскомнадзора:
1.1 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции [...] по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
Других регуляторов вроде как не предусмотрено. А вот то, что «писать в Роскомнадзор» равносильно «писать в Спортлото» — это конечно вопрос к другим товарищам.

Конкретно — в прокуратуру, по факту непринятия действенных мер… Но там уже надо обоснование очень грамотно составлять, чтобы сработало.

UFO just landed and posted this here
Ну туда пишут явно не с фейкового аккаунта, а они могут и заинтересоваться «откуда у вас такие картинки? откуда знаете про уязвимость? а не проще ли палок на нём заработать (или в плюс к нагибанию сайта)?»
До того как они стали ещё и органом цензуры, у них были вполне адекватные обязанности типа контроля за использованием радиочастот и т.п. Следить за работой других гос. органов в плане защиты ПД — это вполне себе хорошая обязанность.
На мой взгляд куда большие проблемы могут возникнуть выложив информацию об открытой уязвимости здесь, с полным мануалом о том, как ее использовать. Нежели если бы вы сначала уведомили об этом разработчиков и дождались закрытия уязвимости. Во всяком случае, если вы боитесь гонений, уведомить разработчиков можно и анонимно.

А на мой взгляд, пора уже этику хакерства дополнить требованием к владельцам сайтов: если на сайте не выложен контакт для связи по вопросам обнаруженных уязвимостей и гарантия отсутствия преследования при условии сообщения об уязвимости данному контакту за X дней до публичной публикации — значит владелец предпочитает об уязвимостях узнавать из СМИ.

UFO just landed and posted this here
> И где публиковать эти требования?

Вот здесь: security.txt

Не понял, при чём тут законы… я о том, что если владелец сайта хочет, чтобы о дырах сообщали ему, а не в СМИ, то он должен на этом самом сайте выложить страничку, на которой будет написано, что a) искать уязвимости разрешено, b) за это не будут преследовать при соблюдении стандартной этики (сознательно не нарушать работу сайта, не портить данные, не распространять полученные через дыры данные), c) публикация найденной уязвимости разрешена через X дней после сообщения о ней владельцу сайта. Если нечто подобное будет принято на уровне законов, то ознакомились с ним или нет значения иметь не будет — незнание законов не освобождает.

UFO just landed and posted this here

Куки не имеют никакого отношения к этой теме, вообще. И к формам, кстати, тоже. (Да и вообще затея бредовая — хоть один психически здоровый человек в мире отказался от использования нужного ему сайта когда увидел на нём сообщение об использовании кук?)


Здесь более уместна аналогия с выкладыванием на сайте ToS — это тоже делают далеко не все, но многие, потому что заинтересованы в этом именно владельцы сайта.

UFO just landed and posted this here
Много ли владельцев сайтов оповещают об использовании кукисов в формах?

Много, даже пришлось заводить в AdBlock подписку, которая блокирует эти попапы. Просто в России нет такого требования, но есть в ЕС. И зачастую с европейского IP оно всплывает, а с российского нет.

Спасибо за подсказку, тоже добавил подписку блокировки предупреждения о куках. Реально надоедает.

Уже довольно много. В Европе очень серьезные штрафы за отсутствие этого предупреждения.
При посещении любого сайта пора выдавать предупреждение «Вы пользуетесь интернетом»
К этому вроде все привыкли. А несколько лет назад — были реальные проблемы, когда люди отключали Internet-пакеты, искренне считая что Интерентом они не пользуются — только Вацапчиком…
Я бы тех, кто эти предупреждения делает, блокировал бы на уровне роскомнадзора. Достали эти попапы уже. Какой чудак их придумал?
Типичный пример того, что в Европе тоже умеют принимать тупые законы.
Слишком много уже, даже для меня, практически не шастающему по всему интернету. Любой магазин/банк (как забугорный, так и наш) сообщают об этом. У кого-то плашка сверху/снизу, у кого-то попап во весь экран. Уже пора принимать обратный закон — что куки используются всеми и предупреждать если ты не используешь их.
«Кого-то», скорее всего даже не брали на работу…
Сомневаюсь. Сайт скорее всего разрабатывался сторонней организацией через тендер. Администратор ресурса тут не при чем. Т.к. Ошибка именно в коде. А т.к. данный сервис является публичным и соответственно трудно отличить полезную нагрузку от выкачки всей базы целиком.
Ну тут сомневаюсь, не думаю, что к сайту прилетают запросы чаще, чем раз в минуту.
Тогда вообще тухляк. А в ТЗ была прописана защита от иньекций? Нет? Тогда давайте еще сто-пятсот миллионов на доработку.

Ах, была прописана? А работу у нас приняли? Ну значит — вы согласились, что работа выполнена в соответствии с ТЗ. Тогда давайте еще сто-пятсот миллионов на доработку.
Вы правы по обоим пунктам. Увы, тендеры на сайты устроены как тендеры на вывоз мусора. О секрете айсберга никто [пока?] не подозревает.

Потому оцениваются — только и исключительно пупочки. Ну иконки ещё. Шрифты. А на то как устроена база внутри и безопасна ли система — всем наплевать.

Единственное лекартсво, которое приходит на ум — вот именно такое: ставить всех на уши и делать заказчикам (а не исполнителям) больно. Тогда, со временем, настанет понимание, что всё не так просто и кроме красивых кнопочек у сайта ещё и «нутро» есть.
Я думаю, что заказчики, после прочтения этой статьи, сейчас первые прыгают от радости, и кричат «пиастры, пиастры» :(
Вы заказчиков с исполнителями не перепутали? У заказчиков — был бюджет на создание сайта. А теперь его нет. И нужно как-то выбивать его на «какую-то фигню» (сайт же и так работал, зачем его чинить-то?).

А излюбленное их решение (наехать на человека, «вынесшего сор из избы») теперь уже бессмысленно.
Неа, не перепутал. :) Очень хорошо знаю, как прикрываются ткие косяки. Например:
1. Я же не спец в ИТ, а бизнес-заказчик. С ИТ-подразделением ТЗ было согласовано, какие ко мне вопросы?
2. Я приглашал на приемку и подписание акта ИТ-подразделение. Пришел мальчик, формально прошел по ПМИ (программа и методика испытаний), и сказал — нет вопросов. Почему теперь ко мне вопросы?
3. ТЗ в области безопасности составлял мой сотрудник, но он уволился полгода назад. Что теперь с него взять?
4…
5…

n…

А сам зову на обед исполнителя, и говорю: Петрович, фартит. Скоро новый заказ у тебя размещу.

По бюджету — тоже особо вопросов нет. Просто какие-то другие из запланированных проектов будут отменены или сокращены :) Тем более сейчас только январь, бюджеты не потрачены. Если бы автор этой статьи разместил ее в октябре и ноябре… ну было бы тяжелее.
UFO just landed and posted this here
Конечно, ничего не будет. Вы сделали ТЗ, показали начальнику, он сказал — «хорошо, Петя, спасибо». Это означает, что Петя выполнил в работу в рамках своей должностной инструкции, и начальник его работу принял. Поэтому ничего этому сотруднику уже не сделать, особенно если он уже уволился.

А вот если будет доказано, что Петя был в сговоре с исполнителем, и ввел в заблуждение руководство в рамках исполнения должностных обязанностей — это уже уголовка. Поэтому так мало айтишников этим пользуются, и именно в рамках госорганизаций.

А вот в частном секторе — этим пользуются многие айтишники. Пришел, договорился, отпилил, ушел. Доказать сложно, а даже если доказать, то корпорация мало что сделает потом. Если это мощная корпорация, может быть подключена СБ для «восстановления справедливости» и компенсации потерь. Но это не часто, и нужно очень нагло все сделать, чтобы такие последствия были. Плюс для корпораций огласка таких случаев оооооооооочень невыгодна.

В общем случае, в частном секторе подход такой: если аудит и/или безопасность поймала в процессе работы человека за такими делами — доводим до суда. Если человек уже уволился — завидуем счастливчику.
UFO just landed and posted this here
По Сеньке шапка. За редким исключением, туда берут или тех, у кого мало (нет) опыта работы, у кого проблема с уровнем и качеством знаний и т.д. А что вы хотели, если платят они ниже рынка от 1,5 до 3 крат? Подрядчики у них такие же, потому что демпингуют на госзакупках (и/или распилиивают) и набор ведут опять же малоквалифицированной рабочей силы.
Всё так, но помимо низких зарплат более важным фактором является еще и абсолютное непонимание предметной области.
Чтобы лучше было понятно что абсолютное это именно абсолютное, а не гипербола, я приведу цитату:
Я не требую от тебя чтобы ты писал программы,
я просто хочу чтобы ты выполнял свою работу программиста!

Данные слова слова я слышал от начальника крупной гос.структуры где я тогда работал тыжпрограммистом.
В трудовой было «ведущий специалист» или что-то вроде, не суть. Искали они «программиста», должность была эникейщик.
Пошел я туда разумеется не за зарплатой или откатами а просто в силу того что после некоторых личных событий сидеть дома и фрилансить было невыносимо, хотелось быть среди людей.
Спустя буквально несколько месяцев после моего поступления на работу обстановка резко изменилась, и нужно было строить полноценный отдел АСУ (внедрение и обслуживание большой и сложной системы автоматизации сделанной руками примерно того же радиуса кривизны что и у авторов обсуждаемого сайта).
Бюджет был по прежнему ограничен. Зарплаты низкие, требования высокие (обязательно высшее образование, хоть сколько-то притягиваемое за профильное) и т.п.
Но поскольку была компетенция (у меня была техническая компетенция плюс опыт руководства людьми, хоть и небольшой, плюс у нас была очень крутая тетка — начальница отдела кадров, понимала и бюрократию, и людей и ругаться умела очень страшно, и хвалила убедительно), то задача собрать хорошую команду решалась.
Я брал студентов (свеже выпустившихся), брал за интерес. Брал девочек у которых муж хорошо зарабатывает, дома сидеть она не хочет, хочет в коллективе и чтобы интересно было. Брал фрилансеров (два по полставки уже один целый, а фикс.доход пусть и слегка пониженный — всегда в плюс, особенно если семья). Я выбивал материальные и нематериальные блага. По разному бывало. То каждому по фотоапарату (были на складе для инспекторов, им надо, нам тоже надо. Им фоткать нарушения, нам… не помню что я в служебке писал, в общем надо и все). Я дружил с руководством профсоюза, так что все путевки и подарки детям нашего отдела были самые лучшие. Я умел пользоваться справочником бюджетной классификации чуть ли не лучше главбуха (частенько выдумывая формулировки позиций позволявшие купить то что нужно по другой статье расходов, когда главбух был неспособен). Я мучал главбуха чтобы копию нашего бюджета я получал чуть ли не одновременно с начальством, поэтому всегда знал когда можно купить какую-то малинку/ардуинку чтобы поиграться «испытать концепцию тонких клиентов с целью удешевления парка компьютерной техники». Выбивал по возможности различные курсы, чтобы мотивировать тех кто пришел «потому что интересно», т.е. почти всех. Выбил служебную машину на отдел (да старенькую калину, да резину и аккумулятор пришлось за свой счет менять, но зато к ней в комплекте шло какое-то колво топлива в месяц).
В результате получилась прекрасная команда. Компетентная и эффективная (ну спускаемые сверху кривые велосипеды исправить мы не имели право, но подрихтовывали до работоспособного вида достаточно успешно).
Но все это требовало не столько материальных ресурсов сколько мотивации и компетенции. Если бы первый начальник не понимал что без хорошей команды будет бардак и это закончится увольнением не меня а его, то ничего бы не было. Если бы ему не повезло получить человека с технической компетенцией (меня), то тоже ничего бы не вышло — тупо некому было бы собеседовать людей, обучать людей и т.п.). Если бы не было талантливого кадровика (действительно талантливого, чего в гос.аппарате редко найдешь) то тоже сомневаюсь что удалось бы — я тогда был слишком слаб в бюрократии. Даже подними зарплату в три раза — ничего бы не вышло.
Потом были другие начальники. Разные. И другая политическая обстановка, и другая степень важности ит-инфраструктуры (в головах руководства). В этих условиях я бы не смог поднять отдел. Но чтобы сохранить то что уже отлажено — много не надо. Потом уже личными отношениями обросли, что тоже спасало. Потом были слияния и поглощения. Дружественные и не очень (да, в госсекторе все как у людей — ничего личного только бизнес). Потом структуру разделили, и отдел соответственно тоже. Потом мне надоело и я ушел. Потом сменилось большинство из костяка администрации во всей структуре. Но оба отдела продолжали плыть. Кто-то приходил, кто-то уходил.
И вот наконец спустя три года после моего ухода очередное новое, некомпетентное руководство уволило последнего моего сотрудника имеющего глубокую компетенцию. Остался один эникейщик в другой структуре, который тоже что-то понимает (примерно на уровне разработчиков этой системы, но хоть что-то), но это уже не торт. Если за полгода транзакцию не откатят, то компетенция будет утеряна окончательно. Я еще пару лет назад не помнил половину простых вопросов. Внутренняя вики конечно существует, но когда «а личные вещи тебе вынесут на проходную» — обычно теряется не только содержимое вики но и сам факт ее существования. Плюс все равно в древней кривой системе всегда куча вещей работает чисто на «мышечной памяти», а преемственности компетенции тут не было. Впрочем такие «яждиректоры» обычно довольно быстро самооткатываются, так что есть шанс что все вернется. Уволенный человек довольно медлительный, да и «раз уж выплатили компенсацию за три месяца отпусков, то надо их отгулять, а там посмотрим».

Многобукв получилось. Хотел просто сказать что «маленькая зарплата ничто, компетенция всё».
Полностью согласен в этом с Areso сообщением выше. Тендер не приводит к формированию качественного продукта. Тендер приводит к «отжиму цены» так, что выгодно привлекать дешевую рабсилу.

При этом такая тактика имеет, как минимум, два преимущества: а) увеличивает маржу, б) формирует «задел» на будущее. Все что заказчик не учел — будет конвертировано в будущие заказы.

PS: все сказанное относится не только к госструктурам, но и к крупному бизнесу, у которых есть подразделения управления закупками.
Тендер не приводит к формированию качественного продукта.

Это у нас так – тендеры проводятся только тупо по цене. Особенно в госструктурах силён этот странный карго-культ.
А если «как положено», то тендер достаточно эффективная штука – если рассматривается комплексное соотношение «цена/качество». И, конечно, если на стороне заказчика имеются люди, способные это самое соотношение оценить…
Честно — не видел «как положено» :) Возможно, все дело в системе мотивации. HR люди простые: что делает отдел управления закупками? Сбивает цену. Значит — им KPI на процент «отжима» — то есть цена была… стала… разница должна быть 25%.

И дальше — убейся. Если пришел нормальный исполнитель, но не догадался на входе завысить цену на 25% — не будет он победителем.

Я не знаю, как мотивировать такие службы, чтобы они обеспечивали «цена/качество», а не просто «цена». Может — ставить им тоже в KPI сроки внедрения, что заставит их хотя бы смотреть на компетенцию? Но они тоже не дураки, и скажут — что от них сроки не зависят, влиять они на них не могут, а почему их результаты деятельности должны оцениваться в зависимости от показателей, на который они непосредственно не влияют? Простой аргумент и понятный HR. Круг замыкается.

Теоретически, я готов поверить, что «как положено» возможно там, где на закупки ставят родственника или доверенное лицо. В одной из компаний, где я работал, таким был сын собственника. И тогда да — модель работала. А в иных случаях — эффективные отделы закупки не встречал, и не понимаю даже теоретически, что может их сподвигнуть работать не только на цену.
Меня наши «тендеры» (тут именно в кавычках, увы) тоже крайне удручают. Но это ещё вовсе не значит, что плоха вся система тендеров в целом. Это значит лишь то, что конкретно здесь «не умеют их готовить»…

А если вообще «как положено» – то за результаты тендера должно отвечать не только непосредственно «ответственное лицо», но и профильные специалисты (настоящие, не в кавычках), контролирующие решения этого самого «ответственного лица» и имеющие реальное право голоса…
Для начала — нужно, чтобы за результаты тендера вообще хоть кто-нибудь отвечал на стороне заказчика.

Потому что с подходом «ошибка-то на стороне программиста» (и за неё, типа, только этот несчастный студент и несёт ответственность) так и будет осуществляться «отжим цен» до уровня Равшана и Джамшута…
… так и будет осуществляться «отжим цен» до уровня Равшана и Джамшута…

Согласен.
Но, во-первых, Вы сейчас копаете уже намного глубже уровня тендеров вообще. «Отжим цен» уже чуть ли не общее явление, нередко даже в коммерческих структурах. Увы…
А во-вторых – именно про ответственность заказчиков (точнее, про её необъяснимое фактическое отсутствие) я и писал. Особенно если это госструктура – там «крайним» всегда назначат либо исполнителя, либо какую-нибудь уборщицу, но почти никогда не руководство (которое и принимает решение о работе конкретно с этим исполнителем)…
Обычно — это генеральный, который должен разрулить зама по ИТ и зама по закупкам. Победит — второй, поскольку его аргументы для ГД проще.

Тогда генеральный и должен нести ответственность за то, что не прислушался к мнению профильного специалиста, а решил просто сэкономить денег.

А перед кем должен нести ответственность генеральный? :)
Перед акционерами / учредителями.
За негативные последствия и связанные с ними материальные и нематериальные потери и издержки.

Генеральный, в общем случае, не царь и не бог, а наёмное должностное лицо (за исключением ситуаций, когда он является единоличным учредителем или единственным акционером).
Я ждал этого ответа :)

Вот за случай, описанный в этой статье — не будет. Взывает генерального акционер, и спрашивает: «как у нас дела?». И Генеральный ответит: «Выручка в норме, уровень маржинальности — достигнут. Есть проблема с одной ИТ-системой, потребуется выделить сверх бюджета на доработки, примерно 0,05% от общего объема инвестиций этого года».

В худшем случае — акционер скажет: «не парь меня ерундой». В лучше, пропустит сквозь уши.

Акционер — он не занимается операционкой. Он отдает ГД 100 руб., и говорит — сделай к концу года 120 руб. А что происходит внутри — если выручка и маржа выполняются, акционеру до лампады.

Поэтому случаи, описанные в статье, которую мы все обсуждаем — для Генерального остаются без последствий от слова «вообще».
Каков вопрос — таков ответ :)

Вы не указали граничные условия: что единственный акционер — пофигист и не одупляет, из чего складывается стоимость принадлежащих ему акций (в случае учредителя — какие существенные факторы оказывают влияние на деятельность его учреждения).

Я ответил в общем смысле, не зная подробностей придуманной Вами орг.структуры и личных особенностей её руководства :)
Да, это факт. Я немного лукавил :) Сорри.

Если в его действиях нет состава уголовного преступления и(или) административного правонарушения, то перед собственником. Если есть, то и перед государством. По статьям частного обвинения на усмотрение пострадавших.

"Набедокурить" в смысле накосячить, допустить грубые ошибки — не будет, если кто-то из начальства не воспримет как личное оскорбление. Могут даже не уволить, ну премии лишат. А вот сознательное вредительство — it depends.

UFO just landed and posted this here

Подозреваю, что там не пару строк исправить, а, значит, скорее всего затребует. Причём не за исправление ошибки, а за доработку по новому требованию.

Ну, тут не все так линейно — там будет тендер и госконтракт. Или доработку придется втиснуть в 100т.р… И автор поста, между прочим, может на этот госконтракт подписаться (при наличии у него афиллированной фирмочки и выполнении какой-то ещё кучки условий).
Допустим есть готовая ИТ-система, на поддержке исполнителя, наверняка. Не очень понимаю, как возможно сделать тендер на ее доработку? Хотя Вы меня озадачили. Формально — Вы правы, госкомпания обязана привлекать исполнителя только по тендеру. Но тендер на доработку заказной разработки проводить… Никто же даже заявку не сможет сформировать, не зная внутренности системы… Не могу прокомментировать, с таким не сталкивался :(
Тут всё просто. В этом случае первоначальный исполнитель снимается как с права на дальнейшее обслуживание системы, так и с права участия в любых последующих тендерах данной организации. Плюс ещё и обязательства по полной передаче документации на систему новой обслуживающей конторе (очень часто прописано в контрактах).
А на «латание» созданных дыр объявляется новый тендер. Причём, по идее – первоначальному исполнителю при этом должен быть выкачен нехилый иск со стороны заказчика («ненадлежащее качество работ» плюс «понесённый ущерб»).
Ну… я уже писал выше. Акты подписаны заказчиком? Значит работы надлежащие, а иначе — зачем приняли.

Есть дефекты, которые могут быть выявлены только в процессе эксплуатации. Не знаю правоприменительную практику к подобным дефектам в ИТ, но в строительстве вполне возможно получить компенсацию с подрядчика за дефекты, выявленные в процессе эксплуатации даже после окончания гарантийного обслуживания и при наличии всех актов. Прежде всего это дефекты, вызванные нарушением технологических процессов, которые заказчик в общем случае не контролирует, принимает пускай и промежуточные, но результаты работ.

Скрытые недостатки — это те, которые не могут быть выявлены в процессе приемки. Например, дом приняли летом, и, очевидно, проверить морозостойкость материалов невозможно.

А SQL-инжекции — это известная уязвимость и могла быть выявлена на этапе приемки сразу. Поэтому тут аналогия не работает.
Тут вопрос в том, что принимающие лица в подавляющем большинстве случаев таких «шибко вумных словей» вообще не знают (да и не должны знать, по идее-то). То есть, выявляется тоже исключительно в процессе эксплуатации. Если только на приёмке не нанимать специальную команду каких-нибудь «кулцхакеров», чтобы провели системе полный тест на устойчивость.

Но если тендер не левый, то задача исполнителя, действительно дорожащего своей репутацией – не просто пройти приёмку, но и минимизировать все дальнейшие риски. То есть, просто сделать «как надо».
Контора, которая готова сделать «как надо» — НИКОГДА не выиграет конкурс у конторы, которая сделает «как вместиться в бюджет». :)
Да, вы правы.
Но если выигрывает такая «резиновая» (не будем называть именем соответствующего изделия)) контора, «вмещающаяся в любые бюджеты» – так и можно публиковать всего лишь конкретные уязвимости (без описаний!!!) с многократным указанием авторства конкретно этой конторы.
И после такой публичной огласки – есть громадная доля вероятности, что такая откровенно «левая» контора уже ни в каких тендерах участвовать вообще не сможет.

Тут ведь косяк не только самой госструктуры – они в этом откровенно ни хрена не понимают (что крайне печально, но это уже отдельная тема). Тут косяк конкретного исполнителя, сделавшего всё не просто за копейку – но и с соответствующим копеечным качеством (китайцы одобряют).
Тут ведь косяк не только самой госструктуры – они в этом откровенно ни хрена не понимают (что крайне печально, но это уже отдельная тема).

А почему, собственно, это отдельная тема? Если Вы целенаправленно дали работу тем, кто обещал сделать всё дешевле всех конкурентов, и забыли уточнить за счёт чего именно получается такая экономия (или вообще работу получили по знакомству или за откат) — почему это вся ответственность оказывается на исполнителе? Следуя этой логике мы дойдём до того, что в дыре виноват программист Вася, который просто выполнял свою работу максимально хорошо — в рамках выделенного ему времени, бюджета и тестировщиков — а не те, кто принял решение на всём этом сэкономить. Если Вам надо нанять исполнителей, а Вы "откровенно нихрена не понимаете" — разберитесь сначала, или наймите того, кто разбирается и пусть исполнителей нанимает он (и отвечает за результат). Ответственность за такие ошибки лежит на тех, кто принимал решения, которые привели к этим ошибкам.


Если это одиночный и нетипичный баг — это ответственность программиста и/или тестировщика. Но если это громадная детская дырища — это ответственность начальников, которые приняли решение разрабатывать гос.сайт без учёта проблем безопасности, и чиновников, которые приняли решение о приёмке и готовности к эксплуатации сайта без проведения аудита безопасности.

Отдельная тема – именно потому, что они в этом действительно ни хрена не понимают. Да и не должны, не их эта область компетенции, не чиновичья.
В идеале, под такие крупные и важные проекты должна привлекаться третья сторона, в виде консалтинга и прочего привлечения независимых лиц. В нашей реальности (да и не только в нашей) – такого тупо нет.

Но тут даже в «тупо нет» – громадные различия. У нас просто «тупо нет» потому, что очень часто не менее тупо просто не хватает денег. Либо, если даже денег вдруг хватает – подрядчики знают, что «в случае чего» их отмажут.
«У них» – часто просто потому, что подрядчики и без того рвут пятые точки на британский флаг, чтобы доказать качество сервиса, пробиться в госсектор и получать «вкусные» контракты. И прекрасно понимают, что, в случае недоброкачественного исполнения – при малейшей проверке к ним может прийти полярный лис. И что после этого дорога в госсектор им будет закрыта навсегда.
Иначе говоря, главная разница – в контроле. Но не в заказчиках, и даже не в исполнителях…
Иначе говоря, главная разница – в контроле. Но не в заказчиках, и даже не в исполнителях…
Главная разница — в подходе.

Вот, почитайте. Сделали сайт под Obamacare… а он — как решето, о безопасности — просто забыли. Ну и нагрузку не держит, да. Примерно как и с обсуждаемым сайтом.

Но что произошло после того как это вскрылось? Всех экспертов дружно отправили на лесоповал? Нет — их наняли на работу, чтобы они всё привели в порядок.

Вот и вся разница.

И не надо тут рассказывать сказок о том, как «за бугром» всё хорошо. Нет — не всё. Но главное — ищут не как «посадить гонца», а как исправить проблему.
Ёпт, ну кто ж тут против-то исправления собственных косяков??? Или кто тут против того, что в системе госзакупок лютует коррупция?

Речь исключительно о том, что нельзя подобными постами открывать доступ к данным миллионов людей, совершенно непричастных вообще ко всей этой бадье!
Это и есть уже прямой выход за границы профессиональной этики.

Пожалуйста, ответьте адекватно и вежливо, в чём конкретно я неправ в данном вопросе.

Доступ не открывали. Он уже был открыт скорее всего с момента начала эксплуатации.

Ещё раз приведу прямую аналогию с дырой в заборе. Если про неё знаете только вы и некое количество других «знающих» – ущерб составит N единиц.
Если же вы публично описываете эту дыру и как до неё добраться – ущерб составит уже N^2 единиц. Тогда в неё толпами полезут «на халяву» уже даже те, кто ранее подобным не промышлял (в силу отсутствия либо умения, либо мозгов, либо всего вместе).

Мораль сей басни такова… Сначала сделайте так, чтобы дыру закрыли – и чтобы в неё не полезли другие. А уже только потом публично рассказывайте о том, как накосячили реально ответственные за эту дыру. И тут уже не возбраняются ни детальные описания, ни скриншоты, ни любые другие доказательства.

Ну простейшая ведь логика, ёпт…
Простейшая ведь логика — гулял неподалеку от режимного объекта. Увидел что половины забора вокруг объекта тупо нет. Залез, посмотрел что там да как, и написал об этом статью.
Именно так оно и выглядит. А вы просто придумываете то чего нет. А нет вот этого вот: «про неё знаете только вы и некое количество других «знающих»». Это банальная дырища в заборе, которую видят все кому надо. А не «знающие».
А значит и выводы ваши нерелевантны.

ПС: и да, если вы всерьез думаете что не бывает такого что у режимного объекта тупо украли забор и никого этого не волнует, то у меня для вас сюрприз.
Да отчего ж? Всякое бывает. )))

Но вот если вдруг случается подобная хрень – вы должны, прежде всего, сообщать непосредственному начальству объекта, плюс всем вышестоящим инстанциям (а желательно сразу «повыше», чтобы конкретно ступившее непосредственное начальство уже точно не отмазалось).

А если вы сразу трубите на всю округу о том, что там-то и там-то в заборе дыра – в эту дыру сразу налетает всякая гопота. Объект грабят, в минусе вообще все, кроме гопоты.
Формально – вы действительно «ничего не украли». Но это только лично вы.
Фактически же – вы дали прямую наводку гопоте на разграбление «дырявого» объекта. Вследствие чего это ограбление и произошло. Не было бы вашей наводки – не было бы и такого крупного ограбления.

Ну, и где тут бОльшая релевантность?
Т.е. по ссылке вы не ходили. Ок.
Ходил, увы…
А теперь вот вопрос лично вам… Если вдруг туда бы за это время кто-то налетел на основании данной заметки, то кто был бы виноват больше – нерадивое руководство и/или подрядчики, либо же тот, кто во всеуслышание сообщил, что забора там нет?

Подрядчики косячили в любом случае – несомненный факт. Но тот, кто опубликовал подобное, тот распространил эту информацию о «дыре» по максимальному количеству подписчиков (насколько позволяет система конкретного ресурса) – тем самым поспособствовав (о, это ключевое слово!!!) совершению уже вполне реальных преступлений.
Надо ли наказывать руководство объекта? Да, на 100%. Надо ли наказывать таких вот «беспринципных правдорубов»? Да, но уже на 300%.
Ну ок. Допустим.
Ваши действия на месте Ланы?)
Ваши действия на месте Ланы?)

Как и говорил – письма во все вышестоящие инстанции. Пока не закроют.
Разве это не очевидно?
Царь хорошый, это бояре р… и.
Ну да, ну да.
Все инстанции уже ответили: нехороший человек периметр поломал, мы возмущены! Поставить камеры, пустить гулять охранников с собаками? А зачем? Ну стратегический объект, ну режимный, но мы же объявление повесили что у нас периметр поломали, с нас взятки гладки.
Или вы думаете что они об этом не написали в вышестоящую инстанцию? Да написали первым же делом. «Чем больше бумажек тем чище жопа» — главный девиз любого чиновника (это цитата если что).
Все всё знают, и всем пофиг.
Я специально привел пример с Энергомашем, чтобы факт того что «писать в спортлото» бесполезно был очевиден. Но видно недооценил степень… в общем недооценил я вас).
Хм… Скажите, а вот про царя и бояр – это сейчас вообще к чему??? Где в моих словах вы увидели хоть малейшую отсылку к этому тезису?
Я вас тоже недооценил. Точнее, ваш уровень рефлексии. )

А конкретно про письма…
Во-первых, всегда найдётся хотя бы одна инстанция, которая «возбудится» по этому поводу. Хотя бы ради того, чтобы самой срубить бабла с виновных нижестоящих чиновников. Это как минимум.
Нам (пока)) неважно, пусть рубят с этого хоть бабло, хоть головы друг другу. Лишь бы закрыли дыру.

Во-вторых, «неравнодушие» у вас получается какое-то выборочное. Старый знакомый принцип «цель оправдывает средства», только на новый лад…
Ну добьётесь вы того, что снимут одного дебила и на его место назначат другого дебила. Но люди (обычные, не чиновники) в итоге всё равно пострадают – и получается, что тупо зря. Разве в этом смысл, в ротации дебилов?

Но вот если планомерно и в рамках закона (это важно!) задалбливать все инстанции сообщениями «неравнодушной общественности» (которые, напомню, регистрируются и подшиваются к «делу» каждого чиновника) – тогда начнут реально шевелиться, начнут реально бояться таких сообщений, начнут больше думать.

Ведь конечная цель-то – не завалить с поста какого-то конкретного Василия Васильевича Пупкина (на место которого, как уже говорил, просто тупо придёт ещё один такой же дуболом). Настоящая конечная цель – чтобы в целом стало лучше (вам, мне, соседям, кому угодно).

Поправьте, пожалуйста, если неправ…
Но вот если планомерно и в рамках закона (это важно!) задалбливать все инстанции сообщениями «неравнодушной общественности» (которые, напомню, регистрируются и подшиваются к «делу» каждого чиновника) – тогда начнут реально шевелиться, начнут реально бояться таких сообщений, начнут больше думать.

А ещё лучше делать это не в одиночку, а привлекая тысячи единомышленников, путем публикации данных о вопиющих фактах нарушения законности со стороны государства или его бездействия в случае нарушения закона иными лицами. Кстати, это одна из основных целей свободной политической журналистики.

Согласен, так намного лучше.
Но без подробностей, которыми могут воспользоваться злоумышленники. Вы до сих пор не понимаете, в чём основная суть претензий? Даже многократное повторение в теме сравнений с прошлогодними «ваннакраями» и «петями» не навело вас на мысли о том, что же именно ставится в упрёк тем, кто публикует именно в таком формате?

Да, есть такая форма соучастия в преступлении как пособничество, но она предполагает умышленное соучастие в умышленном преступлении. Для обвинения лиц, сообщающих сведения, которые потом использовались для совершения преступления, нужно чтобы раскрывающий эти сведения имел умысел на совершение конкретного преступления. Даже если иное использование этих сведений сложно придумать, то доказательства умысла на совершение преступления нужно иметь.


Допустим, у вас дверь в квартиру на сигнализации. Допустим я случайно узнал, что код на снятие с охраны у вас состоит из номера дома и квартиры. Допустим я рассказал это человеку, который знает нас обоих (в частности ваш адрес) в качестве анекдота как люди выбирают пароли, вычисляемые методами социальной инженерии. Нет ни грамма моей вины в том, что он вас обкрадет, если до момента рассказа мне в голову не пришла мысль, что он может вас обокрасть. Ключевое словосочетание "в качестве анекдота" — я не рассказывал как вас можно обокрасть, я рассказал какой смешной код вы или ваша охрана выбрали.


Да, наши правоохранительные органы могут признать мою вину в пособничестве, но это будет ошибка правосудия, а то и умышленное осуждение невиновного, а не правосудие. Кстати, именно поэтому лучше с подобной информацией не соваться в официальные инстанции, а то потом обвинят в пособничестве и подстрекательстве к преступлению, путём сообщения информации, намекающей как даже админу этого сайта получить доступ к информации нештатными методами, не оставляющих явных следов его причастия. Да, он может просто сдампать бэкап в консоли из под своей учётки, но это палевно. Он давно думал как это сделать, но не придумал. А тут вы приходите и сообщаете ему как это сделать с правами обычного неаутенфицированного внешнего пользователя. Он взял и сдампал, а потом сознался и указал, что не рисковал этого делать пока не получил информации от вас, поскольку все остальные способы, пришедшие ему в голову, требовали изменений в системе, которые только он мог провести, а тут он узнал о способе, их нетребующих.

Да, наши правоохранительные органы могут признать мою вину в пособничестве, но это будет ошибка правосудия, а то и умышленное осуждение невиновного

Глупость и/или болтливость ни разу не является оправданием. Если вы владеете такой информацией – вполне логично не рассказывать о ней направо и налево. Особенно если речь не только об одной «квартире», а о миллионах.
При этом, разумеется, вина непосредственно укравшего – на многие порядки выше вашей персональной вины. И я даже за то, чтобы вас не наказали (как и автора). Я лишь за то, чтобы думать – что и как можно рассказывать. Не ради себя, а ради окружающих, внезапно…
Но вот если вдруг случается подобная хрень – вы должны, прежде всего, сообщать непосредственному начальству объекта, плюс всем вышестоящим инстанциям (а желательно сразу «повыше», чтобы конкретно ступившее непосредственное начальство уже точно не отмазалось).

Не "вы должны", а "вы можете". Это право гражданина выбирать наиболее подходящий именно ему в данной ситуации способ информирования заинтересованных лиц о, например, преступной халатности должностных лиц. Нет законов, обязывающих сообщать о фактах, могущих затрагивать интересы миллионов, не публично. Более того, при обращении по инстанциям, есть ненулевая вероятность получить прямой запрет на разглашении таких фактов в любой форме, который сложно нарушить законопослушному гражданину, даже если запрет незаконный.

Да «право»-то есть на что угодно, хоть ключи от тёщиной квартиры продать третьим лицам (кстати, доказать реальное соучастие тоже будет крайне сложно)).
Речь сейчас вовсе не о «правах» – а о моральной ответственности за последствия.
Нет законов, обязывающих сообщать о фактах, могущих затрагивать интересы миллионов, не публично.

Конечно же, нет. Это подразумевается само собой. Называется «гражданской ответственностью», внезапно.
Но вот если огласите публично что-либо, что нанесёт вред миллионам – это уже вполне может рассматриваться как противоправное действие. Увы.

А я называю гражданской ответственностью публичное сообщение с целью максимально быстро прекратить нарушение прав сограждан, если считаю, что такой способ хоть на час, но быстрее будет. В подобных ситуациях обращение по инстанциям считаю недопустимо медленным.


Ну это как видя, что человек на рельсы на ж/д переходе упал, начинать звонить спасателям вместо того, чтобы помочь ему встать.

Ну это как видя, что человек на рельсы на ж/д переходе упал, начинать звонить спасателям вместо того, чтобы помочь ему встать.

Примеры у вас как-то всё страннее и страннее… ))

Нет, у вас сейчас получается несколько иначе… там, где регулярно кто-то падает на рельсы – специально разлить на рельсы масло, чтобы упало как можно больше людей и чтобы спасатели были просто вынуждены успеть до прибытия поезда…
Эффективно, но небезопасно.

Понимаете, подобными действиями вы не помогаете людям – вы лишь подстёгиваете ответственных лиц на более оперативные действиями. Причём, подстёгиваете путём провокации – подставляя под удар множество тех самых людей, которых хотите спасти.
Весьма странная мораль, не находите?

Нет, не подливаю масло, а вместо криков "остановите поезд, человек упал", начинаю звонить в МЧС. Как бы руку подать — это уязвимость закрыть.


Я не считаю, что я подставляю кого-то под удар, публикуя сведения об уязвимости подобного рода. В моей картине мира, с одной стороны, не нанесёт вреда больше, чем уже имеющийся то, что вместо 1000 человек, базу скачает 10000. А с другой, эксплуатант должен закрыть уязвимость или приостановить эксплуатацию до закрытия, быстрее чем кто-то воспользуется моей информацией.

Уязвимость закрыть (то бишь, «подать руку») – надо в любом случае. Вопрос лишь в методах достижения этой цели (несомненно, благой).

Что же касается «подставления под удар» – вновь напоминаю историю со всеми Ваннакраями. Тоже ведь, вроде бы, хотели «как лучше». Причём, руководствовались явно теми же самыми принципами, что и вы…
И в той истории (как и в этой) совершенно неочевидно, кто конкретно виновен в том, что пострадало столько людей – прохлопавшие уязвимость или публично (именно это самый важный момент!) указавшие на уязвимость…

Я о ситуации, когда руку подать или уязвимость закрыть сам не могу. Только проинформировать тех, кто может. Наиболее эффективно проинформировать как можно большее число людей, особенно если не знаешь, кто может, а кто нет.


Мне совершенно очевидно, что виноваты, как вы выражаетесь, морально, две стороны: прохлопавшие уязвимость и использовавшие её для атаки, повлекшей реальный физический и экономический вред.


В случае с WannaCry виновато ещё и АНБ, обнаружившее уязвимость, но каким-либо способом не известившее MS, или известившее, но не проконтролировавшая устранение. Но тут скорее ваша моральная вина. Если оставить за скобками, что скорее всего, они не просто обнаружили её, но и эксплуатировали.

Только проинформировать тех, кто может.

Ну так вот и информируйте. Вроде как, на каждом ресурсе есть возможность связаться как минимум с конторой-владельцем, а как максимум сразу с админами.
Что мешало сделать это с самого начала?
Мне совершенно очевидно, что виноваты, как вы выражаетесь, морально, две стороны: прохлопавшие уязвимость и использовавшие её для атаки, повлекшей реальный физический и экономический вред.

Вы пропустили самое важное звено – между уязвимостью и теми, кто её использовал. Да-да, те самые, кто опубликовали. Не было бы этого звена – не было бы настолько массовой атаки.
Если бы авторы вирусов знали об уязвимости ранее – атака случилась бы уже давным-давно. Но узнали они явно из публикации…
Всё ещё не чувствуете связь между этими событиями? ))
Вроде как, на каждом ресурсе есть возможность связаться как минимум с конторой-владельцем, а как максимум сразу с админами.
Вот ресурс, о котором мы говорим.

И… Хде там связь? Только два адреса, даже телефона нет. Вы предлагаете топикстартеру садиться на поезд/самолёт и туда ехать? Проще статью на Хабре опубликовать. Действенней будет.

Что мешало сделать это с самого начала?
Отсутствие уверенности в том, что это на что-то повлияет, очевидно.

Не было бы этого звена – не было бы настолько массовой атаки.
А она была? Насколько массовая? Кто вам про неё рассказал?
Только два адреса, даже телефона нет.

Внезапно, правда? XD
Отсутствие уверенности в том, что это на что-то повлияет, очевидно.

Кэп сообщает, что «отсутствие уверенности» не является поводом к действию. Таким поводом может являться лишь точное знание – которое, внезапно, появляется лишь после проверки всех вариантов.
А она была? Насколько массовая?

В случае с Виндой – внезапно, была. В случае с ресурсом – мы этого не знаем (и очень надеюсь, что не узнаем).
Только два адреса, даже телефона нет.
Внезапно, правда? XD
Довольно внезапно: перехода на указанную вами страницу с исходного сайта нет, так что вообще неясно — сколько инстанций отделяют данную страницу от обсуждаемого сайта.

Всё равно как на замечение что в Макдональдсе в Москве нет жалобной книги вы привели бы ссылку на сайт штаб-квартиры в Чикаго.

Да, между ними есть какая-то свзязь, наверное, но… опубликовать заметку о тараканах у них в салате в местной газете — надёжнее. Быстрее сработает.

Кэп сообщает, что «отсутствие уверенности» не является поводом к действию.
Кэпу отвечают, что решение что является поводом к действию, а что не является — дело индувидуальное.

А она была? Насколько массовая?
В случае с Виндой – внезапно, была. В случае с ресурсом – мы этого не знаем (и очень надеюсь, что не узнаем).
Что, собственно, и показывает всю разницу.

Уязвимость, которая влияет на миллиарды устройств по всему миру, у которых миллиарды же владельцев и которые требуют изрядных усилий и времени для обновления вы сравниваете с уязвимостью на сайте, у которого владелец один, а выкатить обновление можно за час.

Вам не кажется, что это — таки натягивание совы на глобус?
перехода на указанную вами страницу с исходного сайта нет

Хоспидя, ну неужели так трудно??? )))

Кэпу отвечают, что решение что является поводом к действию, а что не является — дело индувидуальное.

Абсолютно согласен. Но Кэп также сообщает, что далеко не каждое индивидуальное решение является верным, и что таковым оно является лишь с точки зрения самого индивида.
А ещё Кэп сообщает, что если решение индивида всё же оказалось неверным – за любые возможные последствия индивид должен пенять только сам на себя…

Вам не кажется, что это — таки натягивание совы на глобус?

Вовсе нет. Ведь сравниваются вовсе не масштабы. Описывается сам принцип последствий подобных публикаций – когда авторы явно хотели «как лучше», а получилось…
И тут, на самом деле, не принципиально – миллиарды, миллионы, или вообще всего один человек. Важен сам факт того, что публикация может повлечь за собой вред кому-то другому.

Я информирую тем способом, которым считаю нужным. Особенно если в способе нет ничего незаконного или массово осуждаемого обществом.


Связь есть, но она не причинно-следственная. Не вынуждала публикация их садиться и писать вирус. Как не вынуждает наличие кухонного ножа дома к убийству кого-то. Как не вынудил меня или вас этот пост идти и скачивать базу.


А не было бы массовой атаки МС может до сих пор бы её не закрыла, а АНБ ею бы дальше пользовалось. Вы связи не видите, что благодаря публикации была закрыта уязвимость, которой пользовалась или в любой момент могла воспользоваться организация, официальной целью деятельности которой является разведка в пользу США и защита, в том числе проактивная от любых угроз электронным коммуникациям госучреждениям США?

Я информирую тем способом, которым считаю нужным.

Да. Но если вы «считаете нужным» наиболее неправильный способ из всех возможных – тогда уж будьте готовы и на справедливую критику своего «способа»…
Вы же, надеюсь, не из тех, кто считает, что никогда не может ошибаться и все его поступки априори непогрешимы? ))

Как не вынудил меня или вас этот пост идти и скачивать базу.

Вторая распространённая ошибка – судить всех по себе. Ну тогда уж можете написать тут публично в комментарии пароль от своего аккаунта или даже данные кредитки – я точно обещаю, что не буду пользоваться. Да и остальные тут, вроде как, люди порядочные. Докажите же слово делом. )))

А не было бы массовой атаки МС может до сих пор бы её не закрыла, а АНБ ею бы дальше пользовалось.

А тем, кто пострадал – уже пофиг на все эти «бы». Они уже пострадали. И лучше бы уж этой дыркой пользовались АНБ, чем Ваннакрай. По крайней мере, АНБ уж точно не зашифровало бы у знакомой результаты работы за последние пять лет, да и денег не просили бы…

Поправлю. Я предпочитаю наиболее эффективные способы. Неправильным он может быть только в какой-то системе ценностей отличной как от моей, так и от кодифицированной законами России.


Я могу ошибаться в квалификации подобных деяний, моя система ценностей может измениться, может когда-нибудь я с удивлением узнаю, что быстрее всего закрыть уязвимость путём обращения в Спортлото.


Вторая распространённая ошибка – судить всех по себе.

Я не сужу, я постулирую: подобная публикация не может быть причиной противоправных действий. Поводом, катализатором, помощью может, но не причиной. Причины другие.


Так они пострадали от противоправных действий авторов вируса. Прямая причинно-следственная связь.

Я предпочитаю наиболее эффективные способы.

Увы, но наиболее эффективный – далеко не всегда наиболее правильный.
Если уж максимизировать… Вот, например, был некогда один крайне эффективный усатый человек, даже двое их было усатых – «эффективность» у обоих реально зашкаливала, и даже вполне объективно, казалось бы…
Но вот «глупые людишки» почему-то как-то «не оценили» подобную «эффективность». Намёк в целом понятен, надеюсь. Также надеюсь, что не сочтёте это за прямую аналогию – а поймёте правильно, лишь в качестве иллюстрации тезиса «эффективность превыше всего». И, да, не надо тут про Годвина, сам в курсе… )))

подобная публикация не может быть причиной противоправных действий

Без проблем. Так что там с паролем от аккаунта и с данными по кредитке? )))
Дырой в заборе пользовались многие на протяжении долгого времени и неизвестно сколь долго бы ещё и сколько нового народу ходило через неё. Публикацией привлекли ещё сколько-то народу сверх меры, а заодно и закрыли дыру. Вопрос «что хуже» уже не даёт нам быстрого ответа.
Вопрос «что хуже» уже не даёт нам быстрого ответа.

Да есть же ответ. Уже говорил, что «оба хуже». Публиковать можно было без подробностей – это и было бы единственным правильным решением.
Да я только за – пусть нанимают, пусть исправляют свои же косяки (только уже бесплатно)).

Но…
В вопросе «посадить гонца» всё гораздо сложнее. Одно дело – просто ошибка руководителя (случается, и нередко). Но совсем другое дело – корысть руководителя, который намеренно ищет самого дешёвого исполнителя, чтобы самому (!) снять всю «пенку» между выделенными средствами и реальной ценой. Это вот уже вполне тянет на срок.
Впрочем, даже последний печальный вариант – вовсе не отменяет поиск реальных вариантов решения проблемы…
Если только на приёмке не нанимать специальную команду каких-нибудь «кулцхакеров», чтобы провели системе полный тест на устойчивость.
А почему зачёркнуто?

Какие-нибудь стальные двери сертифицируются компаниями, которые умеют их ломать. И потому во-первых не выпускаются студентами прошедшими трёхнедельные курсы сварки, а во-вторых — не имеют, как правило, совсем уж дурацких проблем. От удара ногой «в хлам», как правило, не рассыпаются.

А вот в области ПО, почему-то, нанять на строительство ответственного обьекта новичков без опыта и обвинить потом во всех тяжких грехах человека, в сердцах ударившего по стене (после чего, с изумлением, увидевшего как всё строение сложилось как карточный домик) — в порядке вещей.

Но если тендер не левый, то задача исполнителя, действительно дорожащего своей репутацией – не просто пройти приёмку, но и минимизировать все дальнейшие риски. То есть, просто сделать «как надо».
А зачем ему это? Если выигрывает всё равно предложивший минимальную цену?
А почему зачёркнуто?

Зачёркнуто – только потому, что нет на это денег. К сожалению. Сколько бы ни пыжились, но всем всё ясно пока, увы… (((

А зачем ему это? Если выигрывает всё равно предложивший минимальную цену?

Писал ведь уже тут где-то в теме. В адекватных конторах (к коим точно не относятся наши государственные) – оценивается по соотношению «цена/качество», а не только «цена». Даже в тендерах – «цена/обещания» (и вот как раз за невыполненные «обещания» могут порвать на тряпки для пола)…
Зачёркнуто – только потому, что нет на это денег. К сожалению. Сколько бы ни пыжились, но всем всё ясно пока, увы… (((
Совершенно ничего не ясно. Сломать что-либо — на два, а то и на три порядка проще, чем защитить. Гарантировать отсутствие дыр — да, стоит очень дорого, но вот дать каким-нибудь специалистам сайт «на растерзание» на несколько дней — стоит на порядки меньше, чем его разработка… И это будет уже очень большим шагом вперёд. Но этого не делается. Вопрос: почему?
Совершенно ничего не ясно.

Да всё ясно. Тупо денег нет на это. Да, лютый факап (как в плане финансирования, так и в плане персонала, соответственно). Но это не значит, что теперь нужно троллить все госконторы. Выживают, насколько могут (бедолаги)

но вот дать каким-нибудь специалистам сайт «на растерзание» на несколько дней

Хммм…
Во-первых, насколько помню – как раз подобные услуги стоят как раз весьма ощутимо в сравнении с «просто разработкой» (если только там не какие-то лошки-студенты, конечно))…
Во-вторых, тут, опять же – бюджет. Государство наивно думает, что с первого же бюджетного транша построит «идеальный сайт». А местные деятели тупо думают, что сразу просчитали все риски и прочие возможные расходы. На практике, разумеется, всё часто оказывается не так (мягко говоря)). Но вот на перечисление новой суммы на какие-то допсоглашения – уходит масса геморроя по согласованиям и прочей бюрократии. Проще тупо и браво отчитаться, что якобы «всё окей». Со всеми вытекающими…
Ну, вот как-то так потому пока и всё, собственно. Согласен –
тупо.
Предлагаю голосовалку прикрутить: Считаете ли вы необходимым наравне с врачами ввести уголовную ответственность для программистов?
По моему у нас уголовная ответственность уже и так введена по всем фронтам. Только это не официально, а исподтишка. Шагнул не туда — на тебе по сусалам. Посмотрите на законы последних лет.
уголовная ответственность уже и так введена по всем фронтам

Да по фронтам то ладно, фронтов не жалко. Лишь бы бекендеров не трогали.
Считаете ли вы необходимым наравне с врачами ввести уголовную ответственность для программистов?


Так это уже вроде было недавно предложено, в очень расплывчатой форме. По результатам обсуждение пришли к выводу, что за уши можно притянуть под действие этого закона кого угодно, начиная от эникея.
Выбираю ответ: «Нет (я сам программист и не хочу в тюрьму)»…
Думаю достаточно добавить страховой случай, компания проверяет вашу ит безопасность и гарантирует, что все будет норм за плату в месяц, а если что то утечет то возмещает.
От сейчас фрилансеры повеселятся.
Третий, самый правильный, вариант забыли: Ввести уголовную ответственность для тех подлецов, которые предлагают ввести уголовную ответственность для программистов.

Ха.
В некотором царстве, в некотором государстве, лет 10 назад, один мой друг обнаружил, что результаты ЕГЭ выпускников школ города примерно за 2004-2008 годы лежат прямо на региональном сайте управления образования, в открытом доступе, в .xsl-файлах, вместе с номерами паспортов всех выпускников.

Через пару часов из дома напишу обращение в Роскомнадзор со ссылкой на статью. Думаю, у автора есть около суток для изложения статьи в рекомендуемой стилистике, если сочтёт нужным (:
Какое интересное самоубийство.
Вот из-за таких как ты такие как автор и боятся сообщить об уязвимостях.
Не думаю, что они действительно такие пугливые, не надо так явно рефлексировать. :)

Забавны два момента:

1. обращение я, в итоге, так и не отправил, ибо сервис они погасили достаточно оперативно, и жаловаться на недоступную уязвимость смысла уже не было;

2. не все разделяют этику, за которую тут в комментах отдельные коллеги топят :) Ситуация же зеркальная той, что в статье описана: есть недостатки в исходной статье, я предупредил автора о том, что их необходимо устранить, обозначил определённый срок. Многим такой подход активно не понравился. Интересно, чойта вдруг..? ;)
Роскомнадзор отвечает на заявки в течении 30 дней. Пробовал лично сообщить факте использования моих данных.
UFO just landed and posted this here
Тут какая-то ошибка. Занимаются они ПД. И работают даже по обращениям обычных людей, а не по заказу свыше.
■■■■■■■■■■ ■■ ■■■■■ в открытом доступе ■■■■■■■ ■ ■■■■■■ ■■■■ ФИО, адрес, девичья фамилия матери ■■■■■■ ■■■■ ■■■■■■■
Мне кажется, Вас уже ищут компетентные органы. В статье уголовка на лицо.
Если единственный способ проверить наличие уязвимости — совершить «преступление», то что-то не так. И не в том, кто ищет уязвимости.
Вся соль заключается в том, что автор написал к каким данным получил доступ и «скопировал» (именно такая формулировка в статье) их себе.
Во-первых, одно дело, если бы автор написал «если сделать так, то можно получить доступ к данным», но он же сам написал, что выкачал бд, а это неправомерный досту к информации. Боже упаси его выложить эту базу в паблик, или попытаться её продать.
Во-вторых, если дыру не закроют и база разлетится по интернету, ответственность за это ляжет на автора топика, включая материальный ущерб.
Единственный способ доказать, что уязвимость есть — получить с ее помощью неправомерный доступ к данным или совершить еще что-то нехорошее. Иного способа доказать что SQLi годная я не вижу. И где-то тут и есть проблема.
К сожалению, баги в законодательстве имеют на два порядка больший период между эксплуатацией и фиксом, чем баги в софте. По крайней мере, если эксплуатация бага в законодательстве не может принести государству заметного финансового ущерба в короткий срок.
Проблема в том, что как только вы выполняете первую же инъекцию, получающую хотя бы information_schema.tables вы по факту уже получаете неправомерный доступ, тем самым нарушая 272 УК…
А попытки найти уязвимости — покушение на совершение преступления. Скачивание sqlmap — приготовление…

На этом месте должен быть старый анекдот про самогонный аппарат и изнасилование...

Обыск у мужика — нарыли самогонный аппарат.
— Так-с! говорит участковый. Чудненько! Ща мы тебя за самогоноварение и того.
— Так я ж не гнал!
— Но аппарат же есть?
— Тогда и за изнасилование судите!
— А ты что, кого-то изнасиловал?!
— Нет! Но аппарат же есть?
Я слышал этот анекдот, но всё равно спасибо, что напомнили. А то многие намекнут и не расскажут, как в том анекдоте…
Только объективная сторона диспозиции 272 и то не факт.
UFO just landed and posted this here

Какие тяжкие последствия наступили?

Сайт недоступен. Дальше приплетаем, что сайт относился к органам власти, или критической инфраструктуре, или автор выложил с целью помешать нормальной работе органов власти и т.д. и опа! экстремизм с терроризмом!

Насколько я понимаю, сайт недоступным сделал не автор, а его владельцы, не желая дальнейшей его работы в том режиме, в котором он всё это время работал.

Но виноват будет автор, т.к. по его вине пришлось останавливать.

Варианта разумных причин остановки мне в голову только два приходит:


  • остановили, потому что узнали об уязвимости и чтобы не допустить её дальнейшей эксплуатации остановили сайт до исправления. Автор тут не виноват, ему даже благодарность надо объявить за сообщение об уязвимости, ведь благодаря ему никто больше эту уязвимость не эксплуатирует.
  • остановили потому, что после публикации множество людей начало качать, а может даже менять данные. Автор тут не при делах, в посте нет призывов эксплуатировать уязвимость, это самостоятельное решение третьих лиц начать эксплуатацию уязвимости. Цель автора была прекратить возможность эксплуатировать уязвимость и она прекращена.
UFO just landed and posted this here
Самый безопасный вариант — третий.
И это правильный вариант. Был случай со мной: идёт человек чуть впереди и вдруг роняет свёрток и продолжает идти дальше. Дальше я должен был вроде как подобрать этот свёрток, обнаружить в нём котлету денег. Как на грех тут же материализовался ещё один мужик, он должен был предложить поделить эти «деньги» поровну. Потом об'является первый мужик и вдвоём они с тебя стрясают все твои деньги.
Первый вариант человечнее. Третий вариант — асоциальный. Прям дилемма заключенного.
2) Поднять кошелёк самому, проверить количество денег в нём, достать паспорт, ознакомиться с паспортными данными, а потом сесть в автобус и громко отчитаться перед всеми находящимися там о своём успехе и посетовать на рассеянность прохожего №1. На всякий случай быть в маске и изменить голос (текущий вариант).

Немного не так.
2) Поднять кошелёк самому, проверить количество денег в нём, достать паспорт, ознакомиться с паспортными данными, сходить и сделать копию паспорта и других найденных документов, положить кошелёк обратно на улице, а потом сесть в автобус и громко отчитаться перед всеми находящимися там о своём успехе, рассказав, где лежит кошелёк и посетовать на рассеянность прохожего №1. На всякий случай быть в маске и изменить голос (текущий вариант).
UFO just landed and posted this here
В 99% случаев если дело касается подобных сайтов то:
1) Сообщать тупо некому (те, кто эксплуатируют, не занимаются поддержкой, а поддержкой не занимается вообще никто).
2) Сообщение игнорируют (т.к. эксплуатирующие ни черта в этом не понимают, понимать не хотят и в силу первого пункта оно им не нужно).
3) Уязвимость правят годами (если вообще правят). Т.е. для этого нужно в лучше случае писать претензию авторам (а этого сделать нельзя, т.к. непонятна суть уязвимости). Поэтому работы включают в очередной цикл попила и если про них не забудут, то через год может быть поправят (и внесут ещё пять новых).
4) Сообщившего всё равно пытаются посадить, т.к. если кто-то начнёт это эксплуатировать, то ума у этих идиотов хватает только на то, чтобы начать прессовать тех, кто знал (даже если не эксплуатировал). Прессовать могут на предмет «кому сказал». Изымаю технику и опа! да у тебя там запрещённые материалы в кэше браузера и порнуха!
UFO just landed and posted this here
Я же говорю — с большой вероятностью обратной связью будет возбуждение уголовного дела Вот конкретно от этой компании и есть примеры.
Или анонимно писать? И сколько потом ждать? Ну, я бы, наверное, так и сделал — подождал месяц. Но есть полная уверенность, что за месяц никто бы не пошевелился.
С другой стороны, конкретно это компания — пилорама, которые пытаются засадит хлопца, сообщившего им об уязвимости. И пока они его не отпустят и не извиняться, с ними будут поступать именно так. И это правильно.
Их теперь ленивый ломать не будет. Путь закрываются.
UFO just landed and posted this here

Проблема в том, что в вашей аналогии должен быть не прохожий, а полицейский, и выпал у него не кошелёк, а табельное оружие. И заметивший не просто подобрал, а незамедлительно воспользовался с особым цинизмом (стрелял по банкам посреди проспекта).
А настоящая проблема в том, что полицейский ничего из этого не заметил (и соотвественно не предотвратил возможные последствия) и должен быть с позором уволен из полиции.

Если в 1-м варианте даже с небольшой вероятностью могут дать по морде и сдать в полицию как воришку, то 2-й вариант начинает выглядеть более выгодным для тех, кому не всё равно.
Но возможен модифицированный вариант 1: надеть маску и сообщить прохожему издалека, а потом рассказывать о случившемся в автобусах и метро.
Вспоминается «Хакер в столовой».
UFO just landed and posted this here
Проверять наличие уязвимости должен не первый попавшийся Вася Пупкин, а приглашённый владельцем сервиса аудитор. С которым заключен договор, NDA и всё прочее.
Условно говоря, если меня волнует надёжность двери в мою квартиру, я приглашаю пентестеров и они вскрывают или не вскрывают замок. Любой прочий, кто влез в мою квартиру без спроса, есть злоумышленник.
Так то не ваша квартира, а некий общественный склад. И заведующим им и не собирается аудит проводить.
А здесь имеет место быть другая проблема: отсутствие ответственности заведующего. Это да, серьёзный вопрос. Но попытка решения этого вопроса путём массовых взломов — это костыль, грязный хак.
Сначала судят Деточкина, а потом «прокуратура доводит до сведения суда, что против свидетеля Семицветова возбуждено уголовное дело».
На хабре недавно уже публиковался пост на тему критичной инфраструктуры и ответственности за её функционирование. Вот это мне кажется более правильным путём решения вопроса — пусть кривым, косым и вообще «первый блин».
Организации, поддерживающие публичные сервисы, должны нести ответственность за надлежащий уровень их безопасности. На сегодняшний день подобная ответственность, насколько я знаю, отсутствует во всём мире — сколько угодно случаев, когда крупные конторы публиковали информацию о уже состоявшейся компрометации данных, и я что-то не помню, чтобы их затаскивали по судам до полусмерти. Но есть «звоночки», что появление такой ответственности не за горами. И это есть хорошо.
Это скучный путь взрослых людей. Он не вызывает выброса дофамина у юных Решающих по Киберпространству.
/сарказм
Как думаете через сколько это случиться? месяц? год? два?
Правильный ответ — никогда. Т.е. никакого аудитора туда не подпустят и близко, ибо, попил.
:))
Ну разве что аудитора в долю возьмут.

В данном конкретном случае я с Вами согласен, конечно. Однако вопрос более принципиален: имеет ли право некто вламываться в чужую систему только потому, что он это может?
И отмазками вида «sql injection — это детская ошибка» — не отделаться. Эту уязвимость может проэксплойтить миллион человек; более сложные дыры — ну, скажем, тысяча.

Считать, что эта тысяча человек теперь имеет право лазить в чужие системы — это очень тешит самолюбие юных хакеров, но по сути — это банальное злоупотребление правом сильного. Ровно по этому же принципу юный хакер в собственном дворе может получить по морде от проходившего мимо гопника: «потому что могу». А домушник Вася будет лазить по всем подряд квартирам, потому что умеет вскрывать замки.
Так вот — нет. Как домушник Вася не имеет права залезать в чужую квартиру, как гопник Петя не имеет права бить по морде хакера Колю, так и хакер Коля не имеет права залезать в чужую систему только потому, что он умеет эксплойтить инжекшны. Вот когда пригласят проверить — тогда можно, строго на условиях договора. В любом ином случае — нельзя.
UFO just landed and posted this here

Вы так возвышенно рассуждаете о "хакерской этике", как будто соблюдение (одного из вариантов) оной является самоцелью.


Закрытие дыр требует ресурсов, и немало. Нужно найти достаточно квалифицированного разработчика, оплатить его время, потом ещё провести тестирование что исправление дыры ничего не поломало, плюс ещё много чего (отвлечение ресурсов от разработки новых фич, трата времени менеджера, подготовка официального сообщения для пользователей, …) — и в то время, когда ресурсы тратятся на это, конкуренты не дремлют а педалят новые фичи. Поэтому, в данный момент, большинство на безопасность забивает. И если анонимно сообщить в дыре и ничем при этом не угрожать — мало кто вообще обратит на это сообщение внимание (а те, кто обратят — это только достаточно крупные компании, у которых уже и так есть выделенный ресурс на безопасность, и которые такие детские ошибки сейчас допускают крайне редко).


Если хакер решает не продать дыру, и не порекламировать себя, а сообщает о дыре владельцу — он хочет получить в ответ хоть что-то, если не деньги и признание, то хотя бы закрытую дыру. Иначе получится, что он тратил своё время и силы на поиск, изучение, описание и сообщение об уязвимости вообще впустую. Поэтому отложенная публикация — это не угроза, это насущная необходимость, без которой и дыру не исправят и хакер ничего не получит взамен потраченных усилий.

Увы, сейчас это больше похоже на крайне неумелую саморекламу – если «просто так» публикуется куча данных не только о самой уязвимости, но и о методах её практического (!!!) использования…

P.S. А хакер, простите уж, но просто по определению не может быть «добросовестным пользователем». Так же, как не бывает и «честных воров».
Реально добросовестный хакер называется как угодно, но только не хакером – точно так же, как и те же самые «медвежатники» на работе в легальном частном секторе (вскрытие дверей, и т.д.) пытаются найти себе совершенно разные названия. И никогда не будут публиковать реальные примеры уязвимости различных типов замков…
конкуренты не дремлют а педалят новые фичи


К сожалению, у большинства госуслуг нет конкурентов (и не может быть).
Вы почему-то забываете, что интересы граждан в данном вопросе гораздо важнее (в денежном и этическом эквиваленте) интересов организации. из-за того что такая дыра была — ей мог воспользоваться кто угодно и от этого пострадали бы граждане лично и потенциально на большую сумму денег. Теперь, когда о уязвимости объявлено — практическ гарантировано что ей никто не воспользуется — сайт же лежит. Вайтхэт — это круто, но я, как гражданин заинтересован в том, чтобы о уязвимости было сообщено хоть как-то, чем чтобы её использовали втёмную и бесконечно долго. Учитывая то, что российские структуры не любят вайтхэтов — меня устроит вариант и с неэтичными хакерами.
Если банальнее — какова ответственность того, кто вскрыл дверной замок просто по приколу, не имея умысла на хищение при этом? Ведь умысел играет далеко не последнюю роль при квалификации. Не домушник, но и не приглашенный. Факт противоправного доступа есть, а ущерба — нет.

Навскидку арест до трех месяцев за незаконное проникновение в жилище, совершенное против воли проживающего в нем лица (ст. 139 УК РФ)

Ну вот, ДО трех. И думаю, что учитывая отсутствие злого умысла снизит этот срок, потому что по сути имеем дело с банальным хулиганством.
Как посмотреть: если некий аноним на форуме распишет как легко вскрыть Вашу дверь и адресок укажет, Вы ему за это спасибо скажете?
Не, меня интересует фактическое наказние (см. выше). Плюс, не мою, а некоего общественного склада, если проводить параллель с реальной ситуацией.
Думаю более правильно в вашей же аналогии будет так:
Проходящий мимо гопник скажет хакеру Коле, что ему очень легко надавать по морде. А домушник Вася скажет что замки у Коли очень стандартные и решеток на окнах нет. И если Коля через неделю ничего не сделал с этой информацией, то они публично расскажут это (непонятно зачем, но это все же аналогия).

Тут все банально. А продолжая аналогию: если домушник Вася увидел торчащие из двери ключи, достал их и позвонил в дверь. Хозяин квартиры будет обвинять его во взломе? А если какой нибудь Дима просто повернул ручку двери, что бы проверить закрыта ли она на замок? Зачем? Ну допустим этот Дима в белой шляпе, и просто решил предупредить хозяина квартиры о других менее добросовестных людях. Или тот же Вася увидел что решётки на окнах прикручены, а не заварены. Проверил нормально ли откручиваются болты (это конечно уже странно, но опять же это просто аналогия) и сообщил об этом хозяину квартиры.

По факту они все предпринимали попытки взлома, но без ущерба. А если учесть что потенциально в этой квартире могут лежать их персональные данные или данные их близких? По моему это этично, хоть немного и незаконно. Опять же ответственность за кражу этих самых данных тоже скорее всего ни кто не понесет. Тут можно вспомнить лозунг о спасении утопающих.
ТС конечно пошел еще дальше и таки сделал все копии хранящихся в квартире документов, да еще и всем рассказал как это повторить. Но если репутация хозяина не позволяет к нему обратится напрямую, то как по другому действовать?
Не нагнетайте (: Не думаю, что органы у нас такие уж компетентные…

«На лицо» будет, когда экспертиза на винте данные найдёт, а следствие докажет, что они были получены неправомерно. До этого момента ещё как до Китая задним ходом.

«Уголовка» будет, когда экспертиза, по результатам исследования доказательств, подтвердит суду, что именно подсудимый, имея противоправные намерения, выполнил команда delete from… Это тоже долго и непросто.
>> А в этой статье чистосердечное признание
В реальном мире всё немного сложнее.
Пусть найдут сначала. Похоже, автор может о себе позаботиться в этом плане.
Да, что касается автора статьи — надеюсь, что поиск закончится отказным материалом, с формулировкой типа "… принятыми мерами установить личность нарушителя не представилось возможным".
По-человечески это будет как-то правильно, ящщетаю.

Да, в решениях суда часто мелькает формулировка "по-человечески правильно будет ..."

Автор сидит себе в Португалии и совсем не «чухается» из ст.272 УК РФ
когда экспертиза на винте данные найдёт

Лучше включить шифрование данных, даже, если не занимаетесь ничем таким.

Потому что может прилететь совсем с неожиданной стороны, за репост в фейсбуке какой-нибудь совершенно безобидной картинки, которую, тем не менее, какой-то суд признал экстремистским материалом. Поскольку фейсбук в таких случаях не торопится делиться данными с правоохранительными органами, существенной зацепкой становится то, что лежит у вас на винте…
Для тех, кто ещё недостаточно параноик — даже если вы никакими подозрительными действиями, типа репостов картинок, не занимаетесь, то к вам могут прийти только потому, что кто-то из многочисленных знакомых написал заявления о взломе его страничке вконтакте, а вы — самый подозрительный(программист же) из его круга общения, да ещё и по мнению потерпевшего(и только его) могли иметь какую-то обиду на него.
И да, это не мои вымысел, это реальная ситуация, с которой столкнулся один мой товарищ…
Чем закончилось? Забрали диски на два месяца для изучения?
Нашли nmap и теперь 10 лет без переписки?
Скажем так, вовремя удалось остановить начатый процесс, уж не знаю, забрал ли заявление потерпевший, или удалось убедить следователя(?), что никакой ссоры и поводов на совершение преступления у товарища не было, но в результате забранный компьютер до экспертизы не дошел, а дело свернулось не начавшись…
И да, для информации — для изучения экспертам отдаётся целиком всё айтишное оборудование, которое найдено и заинтересовало оперативников при обыске, то есть если и будут изымать компьютер — то обклеят, опечатают и заберут целиком, вместе с ним могут пойти все роутеры, телефоны и т.д…
UFO just landed and posted this here
Айти тут притом, что зачастую у процентов 60 — 70 людей на компьютерах можно найти что-то нелегальное(особенно у человека из айти), начиная от нелицензионного софта, который может заодно заинтересовать эксперта и следователя, и стать результатом нового дела для «палочки»…
Если же к человеку домой придут по поводу банки огурцов, пропавшей у соседа, то шансы «попасть» достаточно малы — ну если вы не занимаетесь выращиванием незаконных растений на подоконнике :)
Лучше включить шифрование данных, даже, если не занимаетесь ничем таким.

Есть подозрение, что в таком случае будет работать презумпция виновности.
Зато не будет прямых улик. А свидетельствовать против себя вы не обязаны.
(вопрос «а если будут бить?» оставим за кадром, поскольку придётся углубляться в такие способы шифрования, при которых вы не можете выдать пароль, потому что его не знаете, а носитель с ключом успели уничтожить)
Будет тогда как в истории с одним американцем, обвиняемом в хранении детской порнографии. Будешь сидеть в тюрьме, пока не предоставишь ключи. Ну невозможность выдачи ключей уже никого волновать не будет.

arstechnica.com/tech-policy/2017/03/man-jailed-indefinitely-for-refusing-to-decrypt-hard-drives-loses-appeal
Это от местного законодательства зависит. В России, насколько я понимаю, такого нет?
В тюрьме — нет. А вот в СИЗО, вероятно, возможно. Пока идет следствие.
Какая разница? Закон что, по-разному работает в СИЗО и в тюрьме?
Просто это разные юридические сущности. Первое — для подследственных, второе — для осужденных. А потому и НПА регулируют их разные, по крайней мере — отчасти.
В РФ веселее. Суды считают это отягчающим. «подсудимый используя специальные знания активно противодействовал проведению следствия и работе органов дознания...»
Даже если ничего не расшифруют, то могут посадить. Прецеденты были.
Можно ссылочку на прецеденты?
Лень искать. Несколько лет назад было, когда у хлопца после комментария на сайте конфисковали всю технику, ничего не нашли. И посадили на основании только логов сайта и провайдера, впаяв ему шифрование в качестве косвенной улики (имел навыки) и в качестве отягчающего (имел умысел).
прецеднтЫ превратились в прецедент в удобном вольном пересказе, и опять без пруфов. что-то не припомню чтобы кого-то посадили за шифрование.
Лучше включить шифрование данных, даже, если не занимаетесь ничем таким.

А как же терморектальный криптоанализ?
Невозможно выдать то, чего не знаешь. Следовательно, всё следует обустроить так, чтобы не знать ключ шифрования и успеть его уничтожить.

Впрочем, в случае с размещением «смищной картинки» вряд ли до такого дойдёт. Как говорится, убегая от медведя, не нужно бежать быстрее медведя, нужно бежать быстрее других удирающих. Тех, кто более лёгкая добыча. Тех, кто не использует никакие средства защиты вовсе. На них план по «пресечению» экстремизма и выполнят.
Невозможно выдать то, чего не знаешь. Следовательно, всё следует обустроить так, чтобы не знать ключ шифрования и успеть его уничтожить.

Будет обидно, если тебе не поверят, что не знаешь, а криптоанализатор уже нагревается…
Придётся выдумывать.
Компетентные органы ищут, в первую очередь, тех, кого легко поймать.
Гораздо больший риск лежит на хабре, чем на авторе, если он достаточно предохранялся.
UFO just landed and posted this here
Интересно, что в этом случае делать.
Писать разработчикам госсофта бессмысленно. Они, например, выполнили работы по разработке и модернизации подсистем ФИС ФРДО, работу у них приняли… а вот злые хакеры, которые взломали должны быть наказаны. Потому, что если не так, то надо проверять всех по цепочке, наказывать, заставлять переделывать или возвращать деньги в казну. Кому это надо? Максимум — оформят еще одну заявку на очередную модернизацию и за пару-тройку миллионов поставят защиту от injection. Возможно.
Это надо Роскомнадзору — у них есть показатели по устранению нарушений законодательства в области ПДн, а также по реакциям на обращения граждан, поданные в соответствии с установленным порядком.
Неправда ваша. Роскомнадзору это фиолетово, т.к. нарушения законности в области связи и коммуникаций нет! Единственно, кому это может быть интересно — прокуратура. Но это если доказать, что работы выполнены ненадлежащего качества, и имеется перерасход бюджетных средств. Для этого нужно, чтобы какая-то серьезная контора провела независимый аудит безопасности государственного сайта и выдала бумагу с синей печатью.
Эта бумага уже повод для прокурорской проверки. Каким образом можно легально провести аудит безопасности госсайта и есть ли у нас такие конторы — вопрос.
Вообще нужна шумиха, которую может устроить кто-то типа Касперского и т.д., но им это невыгодно. Думаю, самое эффективное в преддверии выборов — обратиться в какойнить оппозиционный политический штаб. Пусть ради пиара поработают на благо страны хоть раз
Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
О! Про уполномоченный орган по защите прав спасибо, не знал. Тогда, теоретически, любой, прочитавший здесь об уязвимости гражданин, может пойти в орган и написать заявление о нарушении его прав на сохранность персональных данных из-за недостаточной защищенности информации у оператора. Можно по образцу.
Теперь можно пробежаться по всем клиентам этого разработчика и найти подобные дырки.
www.prostoy.ru/1458.html
Ткнул в первого попавшегося и получил обнаружение криптомайнера
Забавно что там, видимо можно использовать что-нить типа ('1')=(DELETE FROM STUDENTS)--
Может нет прав на удаление. Хотя маловероятно, конечно.
Либо как вариант добавить информацию о себе…
Имярек такой-то такой-то, окончил МГУ по специальности Кибербезопасность получив квалификацию Джедай по безопасности.
Думаю, потенциальные работодатели оценят, если такой «диплом» будет биться на сайте госорганов...)
Я думаю это был хлебушек определенных людей. Ведь нет сомнений что такая детская уязвимость была найдена сотнями людей.
Уж что что а гос сайты где что то можно проверять подвергаются доскональному изучению «черными хакерами». Т.к. позволяют вносить в эти базы информацию.

А проверка на SQL injection это вообще автоматизированная часть сканирования.
Все же думаю правильно было писать в Роскомнадзор.
На самом деле, вопрос «А что же делать в подобных ситуациях?» — очень интересный. У меня был опыт взаимодействия с гос. структурами по части уязвимостей, отписывал в тп, писал на различные эл. почты, отвечали до смешного долго: на письмо мог ждать ответа несколько месяцев, но все же отвечали и правили. (Сказав «спасибо» на словах).
Не так давно выходила статья на сайте Ведомостей , в которой говорилось о намерении введения
в апреле государственной программы-аналога Bug bounty, по которой тестирование определенных сервисов будет приветствоваться (и оплачиваться).
Очень интересно узнать мнение других по этому поводу, как считаете, выйдет ли что-то хорошее из этой инициативы али нет?
Очень мало вероятно: как часто находить уязвимости будут «нужные» люди?
Моё мнение:
1. Хорошо то, что нормативка, связанная с этими вопросами, будет хотя бы читаться теми госслужащими, которым эти вопросы раньше вообще никак не нужны были.
Там ведь по «вертикали» пойдёт нервный импульс: «разработать инструкции», «согласовать», «не позднее *** предоставлять отчёт о выполнении». Ну и будет людям расширение кругозора (:
2. Не верю в создание готового работающего сервиса, отвечающего той формулировке, которая дана «Ведомостями». Только отдельные элементы до прода дойдут.
Только отдельные элементы до прода дойдут.

Если быть точным, какие?
Думаю что из того, что описано в статье
— не будет реальной публикации данных о найденных уязвимостях (за исключением единичных случаев, примерно раз в квартал),
— по-факту не будет работать полный цикл взаимодействия с тестерами — физ.лицами (не говоря уже о денежном вознаграждении),
— функции исполнителя по Программе передадут Минкомсвязи.
И в качестве Bounty настойчиво предлагать работу в известной «Л*», спасибо, не надо)
UFO just landed and posted this here
Именно по этой причине я не ищу уязвимости в (около)государственных системах. Там слишком много всего.
UFO just landed and posted this here
Не исключено, что он от внезапного всплеска нагрузки обвалился. Нормальная нагрузка на этот ресурс — 10-20 запросов в день.
Мне кажется, автор не первый кто эту уязвимость узрел. Наверняка, кто-то уже давно пользуется этим. И правильно, что опубликовали это здесь, только так и привлекается внимание ответственных за создание этой дыры.
А ведь дырой 100% кто-то пользовался.
1. Добавил запись
2. Подал заявку на восстановление
3. Легально получил диплом
Вряд ли, эта база является первоначальным источником данных. Данные туда скорее экспортируется, переодически
Зато этого будет достаточно для работодателя, решившего проверить диплом.
Ещё будучи подростком я очень любил всякие крутые истории про хакеров, а после того, как решил заняться программированием, изредка почитывал и интересные статьи по взлому и прочему. Так что то, что нужно делать дальше — я знал.

Боюсь, что не знали. Или, скажем так — знали на уровне подростка, начинавшегося крутых историй про хакеров. Потому что примерно где-то на этапе, когда стало ясно, что за уязвимость вы нашли и каковы ее масштабы, надо было писать в поддержку. НЕ продолжая дальнейшую эксплуатацию уязвимости и уж тем более не пытаясь выкачать базу.


Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.

Из той истории вы сделали совершенно неверные выводы — "не надо писать владельцам/разработчикам" вместо "надо уметь вовремя остановиться и писать тогда, когда уже ясно, что дыра есть, но ничего, что могло бы быть квалифицировано как причинение вреда, вы еще не сделали".

Выводы сделаны абсолютно верные. И других не будет до того момента, пока с тех ребят, которые сообщили о дырах, не будут сняты все обвинения, и не будут предъявлены обвинения руководству Микротеха за попытку скрыть/проигнорировать сообщения о дырах.


Кроме того, уязвимости бывают разные, например то, что базу удалось скачать без проблем и на необычную активность никто не обратил внимания — это тоже уязвимость. И проверить наличие такой уязвимости можно только попытавшись скачать БД. Не вижу здесь принципиального отличия от самой первой попытки ввести кавычку в поле для проверки на SQLi — в обоих случаях совершается осознанное действие с целью проверить возможность получения доступа к данным. А как прикажете проверить наличие уязвимости допускающей удаление данных не попытавшись удалить хоть одну запись?


Я к тому, что "либо крест сними, либо трусы надень" — нельзя делать вид, что есть хоть какой-то безопасный (в плане гарантии отсутствия преследования по закону) способ проверять сайт на уязвимости — если только владелец сайта ещё до проверки на уязвимости такую гарантию не предоставил (подписав договор на проверку сайта на уязвимости, участвуя в публичной программе поиска уязвимостей, или хотя бы выложив правила проверки на уязвимости на самом сайте). Некоторое значение имеет то, как эти уязвимости были использованы — была ли получена выгода, насколько значительный ущерб был нанесён (но тут проблема в том, что ущерб есть не только от выкладывания БД в паблик, но и от публикации такой статьи)… но это влияет только на срок, и не отменяет сам факт возможности привлечь к ответственности.


Всё "этичное хакерство" в данный момент держится на самообмане либо "крыше".
Самообман заключается в том, что этичные хакеры придумали сами себе кодекс, при соблюдении которого их нельзя наказывать — это примерно как если бы квартирные воры решили для себя, что если они вещи из чужих квартир выносят не дальше, чем во двор дома (для проверки возможности их вынести), а потом возвращают обратно, и сообщают владельцу квартиры что существует возможность его ограбить, то их нельзя за это наказывать.
Крыша заключается в том, что если бы о проблемах Микротеху сообщили "исследователи из Google Project Zero", а не простые студенты, то на них бы никто в суд не подавал.

пока с тех ребят, которые сообщили о дырах, не будут сняты все обвинения, и не будут предъявлены обвинения руководству Микротеха за попытку скрыть/проигнорировать сообщения о дырах.

Во-первых, простите, каким образом из того, что эксплуатант системы подал заявление в полицию на действия людей, которые, по его мнению, причинили ему ущерб, должна следовать какая-либо ответственность разработчика? Особенно при том, что ТЗ вы не видели, договор не читали, а реальная реакция разработчика вам не известна (может они ничего ни от кого не скрывали)?
Во-вторых, те "ребята" как раз таки перешли черту.


Я к тому, что "либо крест сними, либо трусы надень" — нельзя делать вид, что есть хоть какой-то безопасный (в плане гарантии отсутствия преследования по закону) способ проверять сайт на уязвимости — если только владелец сайта ещё до проверки на уязвимости такую гарантию не предоставил

Если исходить из парадигмы "был бы человек, а статья найдется" — возможно, и так. Реальная жизнь, однако, куда более безопасна, и массе людей как-то удается находить уязвимости и сообщать о них, не садясь в тюрьму (возможно, потому, что не пытаются найденное эксплуатировать и/или не занимаются шантажом).


Всё "этичное хакерство" в данный момент держится на самообмане либо "крыше".
Самообман заключается в том, что этичные хакеры придумали сами себе кодекс, при соблюдении которого их нельзя наказывать

Абсолютно неверно. Этичное хакерство держится на моральных принципах, и это не имеет никакого прямого отношения к наказанию. Эти люди соблюдают определенную этику в первую очередь не потому, что наказания боятся, а потому, что считают это правильным. А законно/незаконно — вопрос, лежащий в другой плоскости и к этике имеющий только косвенное отношение.


Крыша заключается в том, что если бы о проблемах Микротеху сообщили "исследователи из Google Project Zero", а не простые студенты, то на них бы никто в суд не подавал.

Что-то мне подсказывает, что "исследователи из Google Project Zero" для начала не стали бы совершать ничего противозаконного, ибо их "крыша" в первую заключается в наличии юристов, способных подсказать, что и как можно делать, а что — нельзя. И уж совсем вряд ли они стали бы кататься по взломанным транспортным картам. :)

Да тут уже по наличию в ответе текста SQL понятно что есть уязвимость.
«вводил всякой чепухи, и бац — на поле, в которое было введено 1', я получаю такой response»

Этого было достаточно, за это не судят. На этом можно было остановиться и сообщить в РКН.
Все что дальше уже на грани.

У меня смешанное отношение к автору с одной стороны не стал использовать найденное в личных целях, молодец, с другой стороны не дал даже шанса на устранение проблемы, так нормальные люди не делают.
Как можно было бы узнать, есть ли там информация обо мне, не «вкалывая» инъекции? Страницу-то они уже прикрыли.
А Вам и не нужно лично убеждаться в её наличии. Пишите в Роскомнадзор, что из публичных источников в сети Интернет Вам стало известно о существовании угрозы конфиденциальности информации, которая подходит под определение Персональных данных в терминах 152-ФЗ. Требуйте проверить факт наличия нарушения законодательства и ответить Вам в установленный законом срок, а при подтверждении — принять меры по ликвидации.
Всё.
Луи выше по течению дал ссылку: habrahabr.ru/post/347760/#comment_10641730

Я начал из головы придумывать, но не окончил: сервис погасили и смысла уже не было отправлять обращение.
Что-то типа такого:
«Из общедоступной публикации, размещённой в сети Интернет по адресу habrahabr.ru/post/347760 мне стало известно, что информационная система „ФЕДЕРАЛЬНЫЙ РЕЕСТР СВЕДЕНИЙ О ДОКУМЕНТАХ ОБ ОБРАЗОВАНИИ И (ИЛИ) О КВАЛИФИКАЦИИ, ДОКУМЕНТАХ ОБ ОБУЧЕНИИ“, доступная в сети Интернет по адресу frdocheck.obrnadzor.gov.ru допускает бесконтрольное распространение информации о получателях документов об образовании.
В частности, для неограниченного круга лиц становятся доступны сведения о фамилиях, именах, отчествах, датах рождения, национальности, индивидуальных кодах СНИЛС и т.п. Такой *** набор данных соответствует определению Персональных данных в трактовке Федерального закона № 152 от *** (тут обязанности оператора обраб. ПДн).
Считаю, что могут быть нарушены мои права субъекта персональных данных, так как в *** году мною был получен диплом о высшем образовании, информация о котором также подлежит добавлению в базу данных вышеуказанного сервиса.
Учитывая значительный объём информации, содержащейся в уязвимой базе данных, прошу в кратчайший срок провести проверку наличия фактов, в случае их подтверждения — принять меры по устранению нарушения Федерального законодательства в области защиты персональных данных.»

Отправлять собирался через Общественную приёмную Роскомнадзора (https://rkn.gov.ru/treatments/ask-question/), но м.б. через Госуслуги тоже можно.
Автор, если не сложно, отпишись куда-нибудь спустя некоторый продолжительный период времени и расскажи: приходил ли кто-нибудь по твою душу и как вообще дела обстоят.
Обязательно. Ставлю таймер на месяц)
Тут не таймер надо ставить, а завести твиттер и каждый день писать:
Сегодня никто не приходил.
Угу. А потом в один прекрасный день:
Ура! Выиграл миллион, уезжаю жить в Сочи! Всем моим читателям устраиваю бесплатную прощальную вечернику. Хакерам бесплатный стриптиз (сообщайте заранее, что вы хакер)!
Вечерника состоится сегодня по адресу Москва, Петровка 38. При себе иметь паспорт.
Возможно перенесут по адресу Москва, Большая Лубянка, 2
Для такого варианта неплохо подходит публикация, подписанная своим ключом, правда закрытый ключ, теоретически, тоже могут получить, но шансы на это куда меньше, чем на то, что кто-то завладеет твоим акком на том или ином ресурсе…
UFO just landed and posted this here
По факту паспортные данные, СНИЛС и прочее давным давно являются условно публичными данными.
А вот возможность модификации данных — это уже серьёзная проблема.
На самом деле нет. Погуглите, что-нибудь вроде «мошенники номер снилс».
Есть куча статей, где говорится, что зная номер СНИЛС и паспортные данные всякие мутные организации могут заполучить ваши пенсионные накопления.
Вернуть их можно, но для этого нужно вообще знать, что это случилось.

Вопрос конечно серьезный, но автор пишет что данных СНИЛС, данных паспорта нет и другого нет.


Формально — скачал данные, но не персональные.

Из поста не совсем понятно. Относится ли фраза о пустых полях именно к паспортным данным или к ИНН и СНИЛС тоже?
Только к паспортным данным, СНИЛС и ИНН присутствуют
frdocheck.obrnadzor.gov.ru даже взаимодействует не через HTTPS. То что я запрашиваю передаётся «открытым текстом» )) Сложно чтоли сертификат приделать.
С одной стороны, конечно, правильнее было бы выслать уязвимость админам, с другой стороны имеем дело с госорганизацией и присущим ей раздолбайством и пофигизмом. А так — может хоть кто-нить, кроме автора (если поймают) по шапке получит. И может быть начнутся вопросы, как так вышло, что на таком сайте такие детские дыры.

Возможно, сочетание уровня данных и уровня дыры как раз достойно публичной огласки, так как это уже ни в какие ворота.
Немного обидно, что данные о моём дипломе и документах теперь в руках автора и различных скрипт-кидди. Лучше пытаться сначала в закрытом режиме сообщить, ведь ущерб не только организации идёт, но и обычным людям, которые в этом не виноваты.
Мне кажется, что эти данные уплыли сильно раньше, чем автор нашел дыру. Плюс, емнип, если сообщить админам, то закрыть попытаются не дыру, а автора сообщения.
UFO just landed and posted this here
Скорее, иду я по улице, стоит инкассаторская тачка, двери на распашку, внутри не бабло, а большой плакат с секретной инфой, охраны рядом нету.
В вашем примере есть одно существенное упущение. Уязвимости инкассаторской машины нет в открытом доступе и о предполагаемых методах взлома остается только догадываться. В то время, как SQL инъекции — это классика. Сайт, располагающий такими данными, как минимум должен быть защищен от подобного. В случае кражи денег, страховая несет потери. В случае кражи данных — вы несете потери. Есть множество случаев, когда Снилс+пасспортные данные = ваш пенсионный фонд в частном фонде, который банкротится через 20 лет. Я очень надеюсь, что автор не продал данные, если действительно их выудил.
Но то, что выложил статью — правильно сделал. Может и другие зашевелятся.
UFO just landed and posted this here
Можно посмотреть с другой стороны. Если будет много прецедентов — следующие сайты может быть будут делать получше и включать такие детские проверки в методики приемо-сдаточных испытаний. Сейчас недостаточно понимания вопроса со стороны ответственных лиц. А так хоть все заинтересованные будут знать, что если сделать как обычно — то кто попало сопрет базу, да еще и шум поднимется.

Да, любой слесарь знает, как вскрыть замок. Именно поэтому там, где за замком ценное, замок нестандартный, не один и рядом мужик с автоматом. На тему описанной в топике баги есть старый мультик www.youtube.com/watch?v=CHkEX73P2Pk

Любой спецназовец знает как вырубить мужика с автоматом. Я думаю, это следует делать при каждом удобном случае, а потом писать заметку "а хрен ли они расслабились, я ж им налоги плачу?"

Страна тут причём? Это не гостайна. Головы, условно говоря, могут во власти посыпаться — не более. И то, скорее, козлов отпущения найдут. Майдана не будет из-за того, что власти не обеспечили защиту персональных данных бывших студентов.

страна не железная, может и подломиться

Какая-то очень странная страна, которая может подломиться от такой проблемы.

Сегодня sql injection, а завтра 0-day в apache. студентик жизнерадостно напишет "обновлять надо, #удилы! Я король хака!", а вы (админ) вылетите с работы.


Половина статей в раннем "Хакере" написано в стиле — просканил сервак, нашел дырявый демон и ага!

Между sql injection и 0-day в apache существует очевидная и значительная разница — первое — следствие моего косяка, второе — чужого. Если вверенный мне сервер может сломать любой скрипт-кидди — я, как админ, профнепригоден.

Ну и, конечно, не особо понятна связь между криворукими админами и стойкостью Родины.

админ CMS писал — ему и отвечать.
А там персональные данные выпусников военных училищ и ФСБ. Нет, никаких проблем не предвижу.

Разница еще в том что sql injection это просто дверь закрытая на щеколду. Это даже не замок. Просто как щеколда в туалете на кабинке.

И получается что тут картотека без охраны (не отследили трафик) и без замка.

0-day — это уже совершенно другой уровень, это уже та же картотека (но все равно без охраны) с нормальным замком который сложно взломать и нужно обладать определенными знаниями.

Но в любом случае сначала РКН и другие инстанции, потом хабр.
Полностью поддерживаю.

«Знать» != «Публиковать»
«Публиковать» != «С инструкциями»
«С инструкциями» == "Наводка для уже реальных злоумышленников"


Простейшие ведь правила-то. Всего лишь учат думать на пару ходов вперёд, просчитывать возможные последствия своих действий. Но количество минусов на постах с подобными мнениями – откровенно печалит…

Даже если инкассаторская машина не закрывается вообще, или стоит на улице с открытыми дверями, оттуда всё равно ничего нельзя брать. И, если при попытке стянуть мешочек денег с мотивацией "ну я потом верну, я просто чтобы уязвимости продемонстрировать" вас поймают, будете виноваты сами (степень вины определит суд, и всё такое). И это вне зависимости от того, какое наказание понесет тот, кто оставил машину открытой — его действия никак не оправдывают ваши.


Вот этот момент огромное количество айтишников почему-то отказывается понимать. Вернее, применительно к реальному миру-то понимают — воровством вроде большинство не занимается. Но вот при переходе в область ИТ тормоза резко отказывают, хотя никаких ни моральных, ни законных предпосылок к этому нет. Полагаю, причина у этого только одна — в сети поймать сложнее.

Вопрос такой: а нельзя было растрезвонить через СМИ и т.п.? Просто при этом у автора было бы право первого хода и можно успеть осветить свою позицию до того, как облили грязью, оклеветали и навесили клеймо.
Имею в виду более популярные для «простого» народа ресурсы, чем Хабр (при всём уважении). Ну и, без прилюдного раскрытия деталей. Не прокатило бы? Общественный резонанс, все дела. Может со ссылкой на существующие прецеденты и их несправедливость.
У автора нет права хода апще, ибо он, движимый жаждой тщеславия, не только обнаружил уязвимость, но еще и признался, что скачал несколько гб персональных данных с госсайта-)
А ещё поделился уязвимостью со всеми и сейчас какой-нибудь скрпитс кидди дропнет базу, а виноват будет ТС.
Да, уточню: я говорю не о «я скачал тут у вас», а о «тут дыра и у злоумышленника есть возможность скачать».
Ну и, мой вопрос как раз при условии НЕраскрытия деталей.
Ну вы ведь понимаете, что органам нужно кого-то посадить, чтобы висяка не было? Особенно если будет общественный резонанс.
Чем вы хуже какого-то «злоумышленника»? Того искать надо, а вы уже под рукой.
Если автор не протупил, и не полез на сайт со своего домашнего IP, то никто его особо искать и не будет. В конце концов, он же не в церкви станцевал.
Новость про данный материал появилась в Медузе.
Намного эффективнее и прикольнее было продать (или даже подарить) эту инфу тем, кто смог бы её практически применить. Нанесённый ущерб был бы намного больше, причём не столько в смысле экономики или репутации, сколько в смысле доверия пользователей к подобным системам вообще. Возможно, в некоторй отдалённой перспективе диплом станет просто текстовым файлом с pgp подписью выдавшего университета, и отдельная pgp подпись на каждую оценку от преподавателя. Тогда подобные сервисы будут тупо не нужны.

Минуса добавляют этому значку особый шарм. :D

Спасибо за картинку, она тут как раз вовремя и очень к месту.
тут ещё 53 поля, типы которых ещё надо определить методом подбора

Проще и быстрее написать NULL, NULL, NULL…
Также часто слышал много историй про людей, которые приходили на собеседования с красными дипломами МГУ, но при этом абсолютно не разбирались в своей специальности, а потом на корпоративах признавались, что диплом у них купленный.

Т.е. все-таки это работает ))
UFO just landed and posted this here
Автор очень смелый )
если md5 не бьются радугой (гуглом), значит там точно не просто md5. Для этого надо смотреть исходники, что делается тем же sqlinj

Или просто солёные достаточно длинной солью, нет?

Скорее всего, да. Соль в конфиге, хэш от пароля + эта соль. Или хэш 1000 раз в цикле, например.
Если соль в конфиге — это это перец.
Я не эксперт по sqlinj, но по моим представлениям конкретно в случае с PostgreSQL прочитать произвольный файл не так-то просто. И записать какой-нибудь шелл тоже, если СУБД ставилась из обычного пакета, а не из исходников например, запускаясь под юзером www.
А что то сайт какой то подозрительный, уж не жулики ли это??
Упомянутая в конце публикации статья была скрыта в черновики на время разбирательств — нам поступила жалоба от одного из участников истории, с просьбой удалить из публикации несоответствующую действительности информацию и имена самих участников. Мы стараемся доносить подобные моменты до авторов публикации, но не всегда получаем оперативный фидбек. На данный момент все необходимые изменения были внесены в статью, поэтому она снова доступна по ссылке.
Может, чтобы тормознуть конспирологические процессы, «теории заговора» и иже с неми, стоит вместо «доступ к публикации закрыт» в таком случае дописывать «временно» и что-нибудь поясняющее (причину скрытия например)…
Что бы значит «осадочек не остался».

То, что хабр пока не блокирует такие статьи — это радует. Но мне любопытно, куда и почему пропала ветка комментариев обсуждавшая причины почему та статья была скрыта в черновик — у меня от неё осталось только письмо с ответом на мой комментарий:


Date: Mon, 29 Jan 2018 18:49:13 +0300
From: Habrahabr <noreply@habrahabr.ru>

Пользователь Flagman ответил на ваш комментарий к публикации «И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках».

Текст комментария:

        Почему вы не рассматриваете вариант, что пользователь сам скрыл свою публикацию в черновики?

Ссылка на комментарий: https://habrahabr.ru/post/347760/?reply_to=10641376#comment_10641376

Обычно на месте пропавших комментариев хоть НЛО отмечается, а тут как-то совсем с концами пропали. Если это новый способ модерирования, тогда ладно, будем иметь в виду. А если нет, тогда возможно у вас проблемы с целостностью данных в БД.

Вообще интересная история, но повторить не удается (((
Подтверждение в студию ))

Конечно, целью не является использовать эту информацию в корыстных целях (да я и не представляю, как). Иначе бы я не писал статью здесь. Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием, хватило истории про Микротех.

Автор, прости меня, я очень редко использую такие выражения, тем более публично, но тут я просто не могу удержаться. Ты — д*****б просто невероятного эпического размаха. Может я что-то не так понял, но если я все понял как думаю, то ты не только проигнорировал все принципы responsible disclosure, но и дал повод для преследования тебя по закону. Ты можешь сколько угодно говорить о Микротехе, но в конечном счете ты, именно ты, только ты в ответе за этическую сторону раскрытия уязвимости. Если ты боишься этого делать, то ты этого просто не делаешь. Микротех тут не при чем. Кровавый режим тут не при чем. За это ответственен только ты сам.
Может я что-то не так понял, но если я все понял как думаю, то ты не только проигнорировал все принципы responsible disclosure, но и дал повод для преследования тебя по закону.

Может он и проигнорировал responsible disclosure и законный повод для преследования по закону дал властям. Но даже если бы он сообщил про эту уязвимость то автоматический он бы преследовался по закону(его между прочим нашли бы раньше в этом случае) так как залез в государственные дела.


Что угодно можете говорить, но так или иначе на него заведут уголовщину.
Однако давно ясно что РОН занимается фигней. (Может быть и ошибаюсь кто знает.)


В ином случае что сделано то сделано обратного уже не вернешь.

Нет. Вы не понимаете, что такое этическая сторона разглашения согласно responsible disclosure. Давайте я расжую.

С этической точки зрения у вас есть два варианта: разгласить уязвимость вендору по приватному каналу и договориться о таймлайне патчей, либо, в случае если вендор тянет\или не признает проблему как именно уязвимость, то считается этичным не ждать вендора, т.к. он отказался от ответственности. Но в последнем случае нужно сначала _сообщить_ и получить отказ.

Если вы боитесь неадекватной реакции вендора, как в случае с Микротехом, то единственный этически-чистый вариант, это не сообщать об уязвимости вообще. И это отстой, я не защищаю неадекватных вендоров никоим образом.

Тем не менее, ответственность за соблюдение этики разглашения, за принятие этически-чистого решения, лежит только на рисечере. Автор не выбрал этически чистый вариант разглашения. Вместо этого, он с бравадой пошел попиариться на хабр и разгласил уязвимость там. Его отмазка не работает. Этим самым он не только обосрался как security researcher, но и просто как разумная форма жизни. Последнее, потому что подставил себя под УК. Я не вижу как еще это назвать.
Я думаю, большинство плюсующих и пишущих комментарии понимают, что совершенное автором деяние уголовно наказуемо. Но и уголовно наказуема должна быть халатность, с какой разрабатывали сайт: с 2013 года сайт подвержен самой простой, очевидной и банальной уязвимости, какая только может быть, а сайт хранит информацию о всех выданных дипломах и людях, которые этот диплом получали!

Этим самым он не только обосрался как security researcher, но и просто как разумная форма жизни.
Этика у каждого своя. Я понимаю ваши чувства, но не поддерживаю их. Воспринимайте статью следующим образом: автор публично показал, как государство содержит и охраняет данные россиян, и как мало нужно сделать для того, чтобы ими овладеть. Я считаю, это гораздо лучше, чем если бы их втихую слили и продавали.
проигнорировал все принципы responsible disclosure
Автор следует парадигме Full Disclosure.
И поэтому он д*****б. К тому же это не full disclosure. Это просто д'Артаньянство, в данном случае.
Вы пишете как админ сайта с дыркой, кому пришлось поработать над ошибками :)
Легендарное качество отечественных разработок. Держат марку!
Если у кого-то не запета дверь или дыра в заборе, это не дает никому права туда проникать и все выносить. С точки зрения закона ТС поступил противоправно. Правоохранительные органы (если дело получит там ход) должны будут этим делом заниматся точно так же, как и любым другим, и поэтому вопрос, будут ли они искать виновника, не стоит. Конечно будут. Смогут ли найти — другой вопрос.
Если у кого-то не запета дверь или дыра в заборе, это не дает никому права туда проникать и все выносить.

Спорно. Пруфов не дам, но где-то на ЖЖ мелькал любитель забираться на разные тех-объекты (заводы, фабрики, военные городки, научные здания и т.д.). Так он приводил в постах ссылки на статьи, согласно которым проникновение на неогороженную территорию может быть законно. Собственно, через дыру в заборе он несколько раз и залезал.

То есть, проникновение (иногда) возможно, вынос — нет.
Я ведь не случайно упомянул дверь и забор, и пример с неогороженной территорией тут не подходит. А теперь представте, что это к вам в жилище кто-то проник пользуясь тем, что ваш замок оказался слишком простым, и оправдываясь тем, что на вашей двери не было предупреждающей таблички. Решать виновность, понятное дело, может только суд, но думаю что ТС все-таки не прав.
А теперь представьте, что ваши документы хранятся на заднем дворе паспортного стола с забором с щелью и вы знаете, что люди за предупреждения для больницы, которая делала, также — сидят!

Полный аналог — журналисты рискуя быть арестованными в аэропортах протаскивают муляж бомбы!

Нужно максимально громко и широко оглашать такие вещи!
с забором с щелью
так можно сказать про любую систему, все зависит от соотношения квалификаций разработчика и хакера. Вы можете полностью защитится от SQL-инъекций, а вас хакнут через уязвимость типа heartbleed, или любую другую уязвимость 0-дня. Кого тогда делать крайним?
Поэтому повторюсь, на мой виноваты обе стороны, и разработчики (кто именно и в чем — надо разбираться), и ТС.
Важность данных подразумевает некий минимальный порог защиты.
Тут главное не перейти грань… Если каждый пассажир начнёт безнаказанно таскать муляж бомбы — то как прикажете защищаться от реальных террористов?
Кстати, не знаю, как в РФ с этим, в США это законодательно запрещено.
и даже если это дыра в заборе военной части к складу с АК-47, конечно — нужно расследовать именно дело о проникновении энтузиастом, который помог найти эту щель.
Нужно расследовать и дело о проникновении, и дело о халатности, причем они не связаны между собой.
В данном конкретном случае ТС ведь не просто помог обнаружить дыру, он еще и скачивал базу, причем длительное время. Ведь можно было просто написать админам, тогда бы и вопросов к нему не было.
Интересно, а этот студентик уже просит политическое убежище в американском посольстве или он еще не понял во что «влип»?
Ему осталось для «полноты» взломать сайт кремлин.ру — вот тогда точно валить из страны только.
Это зависит от того, спалился он где-то или нет, возможно что и нет. Но конечно он может спалиться и потом, похваставшись где-нибудь о своих успехах :)
Едет человек на автомобиле по дороге и видит, что на тротуаре стоит другой человек. Водитель останавливается, замазывает номера, гасит фары, съезжает на тротуар и совершает на пешехода наезд. Затем приходит в сообщество автомобилистов и рассказывает, какое у нас плохое государство, не обеспечило ни отбойников вдоль дорог, ни защитных столбиков. Смотрите, как легко террорист может задавить людей на тротуаре. В качестве оправдания своего преступления он рассказывает байку о том, как кто-то где-то проехал по луже, облил государственного чиновника, и был лишен прав ни за что.

Я не вижу никакой разницы между описанным мной водителем и автором данного поста. Кроме того, что последний — неуловимый Джо.
Не, эта аналогия не очень подходит, тут скорее он ограбил пешехода и толкнул его на проезжую часть.
Баста, карапузики, кончилися танцы. © Вот щас всё всерьёз заверте… (((

Свои «три копейки»…
1) Предавать публичной огласке подобные критические уязвимости надо – этот момент даже не обсуждается. Чем больше шума, тем быстрее зачешутся и залатают дыры.
2) Публиковать тоже надо. Но без настолько подробных описаний (в которых сейчас вся и беда-то, собственно, особенно в условиях непредсказуемости наших законов). И с одновременно с письмом в техподдержку данного проекта. Письмо можно также опубликовать публично (чтобы потом не говорили, что «не знали»), но с обязательным скрытием (!!!) технических деталей – дабы в эту дыру не ломанулись всяческие «младо-кулцхакеры».

P.S. Только вот недавно отгремели мега-громкие вирусные атаки – которые основывались на информации об уязвимостях, также слитой в сеть «романтическими искателями Правды™». Те ведь тоже хотели «просто предупредить» – а вон как всё вышло-то…
ИМХО, надо просто чувствовать разумную грань между публичностью и возможной ответственностью за последствия публикации.
Вопрос, что лучше в данном случае? Написать в саппорт и надеяться, что письмо прочитают/поправят дыры или осветить публично, чтобы дыру сразу закрыли?
Дыра примитивная, это открытая sqlinj без всякой фильтрации. Более того, судя по дальнейшим запросам, автор черпал информацию о sqlinj по ходу своей работы над этим ресурсом, явно не занимаясь этим ранее. Я к тому, что любому скрипткидди, работавшиму с sqlinj, достаточно было просто дать домен, нет тут никаких «технических деталей». Есть примеры получения метаинфы о структуре, причём сделанная на коленке. Даже про sqlmap ни слова ;) хотя эта штука собрала бы базу куда быстрее.
Вопрос, что лучше в данном случае? Написать в саппорт и надеяться, что письмо прочитают/поправят дыры или осветить публично, чтобы дыру сразу закрыли?

«Оба хуже» ©…

Письмо в саппорт не означает обязательный отказ от публичного указания на сам факт наличия проблемы.
Равно как и публичное указание на наличие проблемы не означает немедленное обнародование сразу же всех технических подробностей, с почти готовыми решениями (как сейчас). Ведь достаточно было всего лишь намекнуть, где конкретно «копать» – а там саппорт сам разберётся, если не просто так свой хлеб едят.

Иначе говоря, как уже сказал – указывать можно и нужно, даже публично. Но без подробностей, без конкретных примеров.
Иметь мнение хорошо. Только если вы сами не умеете искать такие дырки, то не вам решать публиковать их или нет. Решает именно профессионал. А кстати еще бы неплохо ссылочку торрента со скачанной базой :)
В данном случае – это даже не «мнение», а самое элементарное здравомыслие. Совершенно никак не зависящее ни от моих, ни от Ваших конкретных профессиональных навыков. А во многом – даже профессиональная этика, если угодно.
Поэтому, внезапно, речь как раз о решении зрелого профессионала. Ключевое слово – зрелого (то есть, состоявшегося не только как профессионал, но и как ответственная за свои действия личность)…
Да тут проблема в том, что дыра слишком детская. Достаточно написать «На домене таком-то есть дыра», чтобы все, кто пойдёт взглянуть, сразу её нашли. Так что нельзя написать о дыре без раскрытия технических подробностей, потому что этих подробностей как бы и нету.

Но в целом согласен. Вот если бы автор соврал, что две недели писал в техподдержку, а там отмалчиваются, то ничего бы в ситуации не изменилось, а автора бы не клевала половина хабра.
Немного не соглашусь. Если знать о «дыре в целом» и найти её на основании этих описаний способны лишь условные десятки – то налететь на уже «задокументированную» и в деталях описанную дыру способны уже условные тысячи (среди которых явно найдутся люди с куда как более размытыми моральными ориентирами, чем у автора – который, судя по всему, действительно просто «хотел как лучше»). Вот ведь, в чём тут главная претензия…

А в целом – даже и врать не надо. Надо было просто реально две недели писать в техподдержку. Максимум – сделать пост с общим описанием проблемы. Вот тогда бы точно никто никого не клевал бы… ((

Грубо, можно считать, что зная о детской дыре на конкретном сайте, найти и начать эксплуатировать её смогут десятки тысяч человек только в России, при условии, что она там везде или в основных интерфейсах, а не в каком-то уголке.

Просто «зная» – десятки тысяч (пусть даже так). А вот «зная» и видя «как именно» – уже сотни тысяч.
И чисто статистически – количество потенциальных злоумышленников (или просто малолетних дураков) несоизмеримо выше во второй группе. Поскольку вторая группа априори менее образованная и лишена той самой профессиональной этики…

«Спички – детям не игрушка!» – ну всех же этому учили, вроде…
Не одновременно. Писать надо было до и дать хотя бы какое-то время на исправление.

Есть ли хоть какой-то технический смысл в статье? Что-то уникальное? По-моему, нет. Нашел SQLi, ну офигеть.

писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием

При этом даже не попытался зарепортить. Нарушил закон, так и людей обычных, которые и не знают о сервисе, вполне себе подставил.

При этом тут в комментариях хвалится…

А у публикации за 200 рейтинг.

Не понимаю, неужели большинство не видит тут подставы прежде всего для обычных людей? Ведь даже попытки контакта с админами\разработчками не было, судя по статье.
Не одновременно. Писать надо было до и дать хотя бы какое-то время на исправление.

Абсолютно согласен – лучше всего вообще «до» тихо-мирно решить всё с техподдержкой, тет-а-тет. Но тут вариант «одновременно» был предложен, увы, просто по факту – если уж решили непременно публиковать «горячую новость»…
В том-то и дело, что на гос сайте с такими серьезными данными такие детские дыры. Именно на это хотел обратить общее внимание автор, а не на техническую сложность взлома. О таком надо писать не админам, а в СМИ. Ибо позор джунглям в чистом виде.
Дыры, несомненно, детские и совершенно позорные. Но если их сначала нашёл только лишь сам автор – то теперь, после публикации, про них знают вообще все. В этом и суть всех претензий.
А вот если бы сначала достучался до техподдержки – о них знал бы лишь ограниченный круг людей, плюс всё вовремя пофиксили бы, плюс не выводя в оффлайн весь ресурс и не поднимая скандал. Все были бы в шоколаде.
А сейчас, после публикации – ресурс валяется в оффлайне, шума-гама выше крыши, да и самому автору теоретически грозит весьма неиллюзорная (в местных реалиях) статья. Плюс ещё и не факт, что всё действительно исправят, а не просто отмажутся бравым рапортом начальству о «закрытии всех дыр» (по принципу: «ХЗ, когда ещё найдётся такой умный юзер, а зарплата нужна нам здесь и сейчас»).

Ну где тут смысл всего этого вот «робингудства»?
UFO just landed and posted this here
Не, ну если уж пошла настолько суровая конспирология – то я точно пас…

ИМХО, тут максимум – здоровый «энтузиазизм»©, но зашедший слегка не в то русло.
UFO just landed and posted this here
Вновь настоятельно рекомендую обойтись без провластной конспирологии и прочего «поиска врагов». Зае… уже это вот всё, честно.
Сейчас данный инцидент обсуждается исключительно с точки зрения профессиональной этики. Точка.

А вы исключаете вариант, что уязвимость давно известна некоторым людям и активно эксплуатируется? А теперь хотя бы ресурс лежит и дальнейшая эксплуатация невозможна.

Нет, вовсе не исключаю. И, обратите внимание – нисколько не снимаю вины с владельцев и персонала сайта.
Но тут вопрос в том, что после публикации количество людей «в теме» многократно возросло. И не факт, что в промежуток между публикацией и закрытием ресурса – данные с него не слили ещё энное количество «кулцхакеров» (которые без этой «подсказки» своими мозгами не дошли бы до такого решения)…

Не зря ведь вообще вся речь именно о профессиональной этике – которая включает в себя и ответственность (из серии «Мы в ответе за тех, кого научили»).

Возможно, это был также и дополнительный манёвр против обнаружения — выдать вкусное публике и в итоге заспамить логи играющимися скрипткидди. Вот кого-то из любопытных без средств защиты и возьмут теперь, а автора и искать не будут.

Откуда вы знаете, что хотел автор? Мне вот кажется, он просто голову потерял почему-то и решил покрасоваться. Детская дыра или нет, ответственность за свои действия нужно понимать.
Если бы он сообщил поддержке, то это не освободило его ответственности. И даже наоборот — проще его посадить, чем дырку фиксить. Примеры такого мы уже видели.
Более того, как показывает практика, в таком случае на него повесили бы вообще все взломы этой базы (я её 100% много кто уже ломал — слишком очевидная дырка).
UFO just landed and posted this here

Вы походу новости вообще не читаете. По-моему из них очевидно, что ещё чуть-чуть, и за попытку сохранить анонимность будут ещё дополнительный срок накидывать, даже если больше ничего противозаконного не делал. Так что идея анонимно помогать гос.структурам — так себе идея, если честно. На премию Дарвина не тянет, но на медаль Дарвина — вполне.

Так тут ведь выбор простой – либо помогать анонимно, либо вообще не помогать. Сохранить максимальную анонимность при желании и умении вполне возможно. И тогда почему бы уж и не помочь?
А вот позиция «вообще не помогать», ИМХО, заведомо неверная – тогда они вообще ничему так и не научатся, и будут все базы с нашими данными дырявые как решето.

С точки зрения простейшей логики – какой из вариантов более предпочтительный?

Помогать можно разными способами. Пока государство против анонимности и за преследование исследователей — самый эффективный способ помогать это как раз полное раскрытие.


А если государство считает, что responsible disclosure предпочтительнее, чем full disclosure — пусть принимает соответствующие законы, защищающие исследователей практикующих responsible disclosure. К сожалению, шансы на это слишком малы — запрещать и наказывать намного проще, чем включить голову и принять адекватные законы.

Иначе говоря, вы предлагаете не помогать «просто из вредности», даже анонимно? Или вы считаете, что саппорт тоже «просто из вредности» не прислушается к анонимному указанию на реальную дыру? Что тут важнее – закрыть дыру, «наказать» саппорт или просто «на вредность» что-то «доказать» государству?

Либо я чего-то не понимаю, либо логики в подобных рассуждениях всё меньше и меньше…
Что тут важнее – закрыть дыру, «наказать» саппорт или просто «на вредность» что-то «доказать» государству?
Государству ничего доказать нельзя, это не человек. Как-то воздействовать можно только лишь на конкретных его представителей.

В настоящее время внушительный процент оных исповедует подход «главное — чтобы начальство ни о чём не узнало». Дыры в безопасности? Фигня. Все базы могут быть переписаны кулхацкером! Не проблема. Кто-то что-то обнаружил? В кутузку его!

Пока этот подход превалирует ни о каком responsible disclosure говорить не приходится. Сейчас главное — изменить создание, чтобы люди от древнего ритуального подхода «убивать гонцов, приносящих плохие новости» отказались.

Для этого «полное раскрытие» как раз очень хороший инструмент. Какой смысл сейчас топикстартера в кутузку засовывать? Начальство уже обо всём узнало!
Какой смысл сейчас топикстартера в кутузку засовывать?

Потому что это прямой вызов правоохранительной системе — публичное признание в противоправном деянии с посылом "не найдут". А правоохранительная система на такие вызовы умеет отвечать только одним способом — еще большим закручиванием гаек. А поскольку противовеса у нас в обществе нет…


Так что это может быть локально эффективным способом (хотя далеко не всегда — у нас же горе-хакеры не разделяют дыру на сайте и возможность подделки проездных), но вот глобально абсолютно точно "медвежья услуга" самим себе в том числе. Потом тот же хакер будет удивляться — а чой-то всё больше законов против свободы и анонимности принимают, совершенно не связывая с этим свои собственные действия. :)


Disclaimer. Это не выражение моей личной позиции, а объяснение мотивов, которыми может руководствоваться государство и правоохранительная система.

А правоохранительная система на такие вызовы умеет отвечать только одним способом — еще большим закручиванием гаек.

В этом же и весь смысл: если сильно закрутить гайки — резьба сорвется.

Угу. Переоценка собственных возможностей тоже очень свойственна многим айтишникам. А тем временем тренд в обществе — вовсе не на срыв резьбы, а на одобрение закручивания, а опыт некоторых соседних стран показывает, что страна может жить и очень неплохо развивать технологии с куда более закрученными гайками.

Вы очень сильно путаете подходы «чтобы начальство ничего не узнало» и «чтобы люди не пострадали».
Я сейчас о втором варианте. А вы, почему-то, упорно о первом.

Когда дело касается не только нас и недобросовестных исполнителей, но и людей, которые обо всех этих вот вещах вообще «ни сном, ни духом» – спокойствие и безопасность этих людей просто обязаны перевешивать жажду справедливого наказания исполнителей.

А если уж непременно хочется наказать нерадивых разрабов и админов – копии всей переписки можно просто отсылать их начальству (плюс, как вариант, ещё и во всякие «контролирующие инстанции», чтобы уж точно не отвертелись).

khim всё верно ответил. Это не вопрос вредности. И не попытка наказать. На данный момент это просто единственный метод, который хоть как-то работает для гос.структур. По сути, начав наказывать этичных хакеров нам оставили только три варианта действий:


  • "одноразовый" этичный хакер: нашёл дыру, сообщил о ней гос.структуре, сел на несколько лет отдохнуть от трудов праведных (дыру при этом, почти наверняка, никто закрывать не будет)
  • криминал: нашёл дыру, и либо продал криминалу, либо сам начал на ней зарабатывать — пока не поймают и не посадят, отдохнуть от трудов неправедных (дыру при этом, скорее всего, закрывать не будут — о ней даже не узнают конкретных деталей)
  • СМИ: full disclosure, максимально шифруясь при этом (здесь есть шанс, что пока общество не приучили игнорировать новости о дырах, их будут хоть как-то закрывать)

Так что если хочется, чтобы данные были нормально защищены — остаётся только последний вариант. Если хочется славы/известности — дыры в гос.структурах лучше вообще не искать. Если хочется заработать — текущая политика предоставляет идеальную возможность (дыр много, и до них никому нет дела).

Есть ещё вариант сообщить о проблеме анонимно а потом опубликовать, но это же не для д'Артаньянов, правда?

Есть, это первый вариант — если Вы в курсе, государство сильно возражает против анонимности, так что попытка отправить сообщение анонимно скоро будет только увеличивать срок.

Даа? А вот это вот сверху, это разве не
попытка отправить сообщение анонимно

а? Ну чо, значит сажаем автора сего опуса
несколько лет отдохнуть от трудов праведных

или как?
Можно, но это увеличивает поверхность атаки. Проще и безопаснее просто опубликовать. Но только с минимумом подробностей и текста — потому что это тоже увеличивает поверхность атаки.
Нет, не единственный метод.

Как уже отметил выше, сообщать можно сразу в несколько инстанций –
желательно не только непосредственному эксплуатанту системы, но и во все вышестоящие.
Благо, поле «копия» в мэйлах особо есть не просит, да и руководству самой конторы-эксплуатанта при виде внушительного списка копий резко поплохеет и замотивирует на скорейшее решение проблемы… ))

Но когда вопрос касается множества людей – ни в коем случае не публиковать уязвимости сразу. Ранее уже приводил пример с прошлогодними «ваннакраями» и прочими «петями» – кому в итоге было хуже всего? Сможете честно ответить на этот вопрос?

Уязвимости в ОС и гос.сайты — это очень разные вещи. Во-первых потому, что за сообщения об уязвимости в ОС с использованием responsible disclosure никто не будет пытаться преследовать исследователя по закону. Во-вторых потому, что закрыть уязвимость в ОС (везде где она установлена, ведь многие патчи не ставят!) намного сложнее и дольше, чем на одном сайте. Так что аналогия с "петями" слишком некорректная, и больше похожа на целенаправленное передёргивание, а не аналогию — поэтому на предыдущее упоминание "петь" я и не пытался отвечать.


Да, "копии" могут сработать. Если попадут к правильным людям. А кто в данный момент "правильный" — сильно зависит от текущей политической обстановки, кто с кем сейчас дружит из чиновников. Иными словами нужно ориентироваться в их кухне, чтобы можно было эффективно надавить на конкретного чиновника и помешать ему замести проблему под ковёр. Всё это слишком сложно (для исследователей, которые изучают безопасность, а не текущую политическую обстановку на уровне каждого чиновника отвечающего за разработку очередного гос.сайта), слишком неэффективно, и абсолютно никак не улучшает ситуацию в целом.


Поэтому, что касается заботы о людях, то намного эффективнее устроить некоторое количество громких full disclosure — это, по крайней мере, практически гарантирует что дыры будут закрыты, и даже даёт надежду на изменение политического курса в сторону отказа от преследования при responsible disclosure — т.е. на улучшение ситуации в целом.

С «петями» вовсе не передёргивание, а прямая аналогия. Там ведь весь главный карнавал начался тоже с «принципиальной публикации» уязвимостей, если помните…
Итоги – MS живёт и здравствует, публикаторы живут и здравствуют, «писатели» живут и здравствуют. В ж*пе только обычные рядовые пользователи по всему миру.

А с чего всё началось? Да с публикации же, блджад!!!

И политика тут – дело совершенно десятое. Даже ваша/наша, да. Как уже писал ранее – действительно опытный технарь всегда сможет найти способы обеспечить себе максимальную анонимность.
Тут вопрос лишь в том, какие цели преследуются изначально – обнаружить и реально закрыть проблему, либо распиариться на её обнаружении…

Вы почему-то наотрез отказываетесь признавать ответственность текущей политики в происходящем.


По-вашему получается, что исследователи безопасности должны вертеться ужом на сковородке, героически преодолевая препятствия, которые им создала текущая политика: обеспечить себе максимальную анонимность, потом разобраться в политической обстановке чтобы эффективно составить список получателей "копии" письма с описанием проблемы, проконтролировать будет ли проблема исправлена в разумные сроки, если нет, то составить ещё более эффективный список получателей и повторить рассылку… (Помимо очевидных сложностей с составлением списка получателей, стоит отметить что никакая "максимальная" анонимность не даёт 100% гарантии, а так же то, что для анонимности реально "выше среднего" уже требуется и свои деньги тратить, и законы нарушать — странно предъявлять такие требования к исследователю, который нашёл дыру, и хочет помочь её закрыть.)


Вам не кажется, что всё это — как раз работа для чиновников, а не исследователей безопасности? Именно чиновники должны заботиться о том, чтобы люди не пострадали от их "инноваций". А исследователи заботятся о том, чтобы дыру закрыли — а ещё лучше чтобы такой тип дыр больше вообще не допускали.


А для этого нужна огласка, в любом случае. В идеале — после того, как дыру закроют, но количество усилий, который сейчас необходимо приложить исследователю чтобы следовать responsible disclosure для гос.сайтов, и при этом остаться на свободе — уже выходят за рамки разумного, и с текущей политикой дальше будет только хуже.


Тут вопрос лишь в том, какие цели преследуются изначально – обнаружить и реально закрыть проблему, либо распиариться на её обнаружении…

Конечно, некоторые хотят "распиариться" и их не волнует причиняемый при этом ущерб. Но большинство "этичных" хакеров следуют responsible disclosure если им дать такую возможность. А вот если их этой возможности лишить — тогда многие из них предпочтут full disclose полному замалчиванию или риску сесть, и их нельзя за это винить — они просто делают свою работу, настолько хорошо, насколько у них есть возможность.

Как уже неоднократно сообщал (кстати, вообще вот нах это здесь-то???) – вовсе не фанат нынешних, и это ещё очень мягко говоря. Они дохрена за что ответственны (и ещё больше дохрена в чём накосячили), это просто факт. Но вот конкретно в таких случаях – уж точно лишь косвенно. Да, старею, пытаюсь быть объективным™…

А теперь по теме…
Уже писал ранее. Цель действительно «неравнодушного гражданина» («пафос=off»))) – сначала лишь «сообщить». И только потом, только если уже не отвечают – публиковать. Но даже в этом случае – без подробностей. То есть – без того, что может потенциально навредить твоим же родственникам/друзьям/соседям/etc.
Претензии только в этом. Нашёл – умница. Теперь сообщи владельцам сайта. Не реагируют – сообщи выше (плюс жалоба на нерадивость нижестоящих). Далее то же самое, пока не ответят. Только когда дойдёшь до Самого и даже он не ответит – только тогда уже публикуй. Поскольку от последствий этой публикации зависишь не только ты, внезапно. Там ведь реально миллионы совершенно обычных людей.

… они просто делают свою работу, настолько хорошо, насколько у них есть возможность.

Так вот именно между возможностями и последствиями – заключается та самая главная морально-этическая дилемма, о которой вообще все споры в этой теме.
Промолчать – оставить всех в безопасности. Не промолчать, сказать о проблеме «аккуратно» – закрыть дыру, оставить всех в безопасности. Не промолчать, сообщить о дыре публично – подвергнуть опасности вообще всех находящихся в базе, а не только разработчиков…
Разницу чувствуете? Вот о том и речь…
Вижу неустранимые противоречия между Инженером-Максималистом и Гражданином-Консерватором.

Извините, что вмешиваюсь в диалог. Карму мне продавили ниже пола, я не могу пролайкать все сообщения от вас обоих в этом тредике, поэтому высказываюсь публично :)
Тут, скорее, противоречия между Инженерами-утопистами и Инженерами-реалистами… ))

Но за лайки обеих (!) сторон (ну, пусть даже не выраженные в текущих условиях)) – искренний респект, честно. Непредвзятость – «мать правды»…
Я где-то писал, что его что-то освободило бы от ответственности? Он вообще не должен был ничего делать изначально без разрешения.

Но если захотел публиковать на Хабре или где-то еще публично, то хотя бы шанс как-то исправить уязвимость дать нужно было заранее.
UFO just landed and posted this here
А сколько эти 14 миллионов до того страдали? Думаете он самый умный? Судя по тексту он вообще этим не занимается и полез ради интереса. Страшно представить, что там за годы наделали те, кто этим профессионально и за деньги занимается.
Чувак, как раз, прекратил это всё и спас невинное население от идиотов.
UFO just landed and posted this here
У меня немного другая позиция. Сколько лет этой баге? Сколько людей могло пострадать о того, что некто (и, вполне вероятно, далеко не один) безнаказанно пользовался этой багой? В таком случае, автор способствовал пресечению противоправных действий относительно других пользователей.
Если бы общение было исключительно с админами ресурса – тогда да, действительно способствовал бы пресечению противоправных действий.
Но когда уязвимости публикуются в открытом доступе, то что-то мне подсказывает, что это совершенно напротив – провоцирование противоправных действий…

Просто представьте себе такую аналогию…
Некто обнаруживает, что на Вашей двери плохой замок и её легко открыть. Но вместо того, чтобы конфиденциально сообщить об этом лично Вам – этот самый Некто публикует в открытом доступе пост на тему того, как легко и какими методами открыть Вашу дверь (с указанием Вашего адреса и методов открытия Вашей двери).
Да, конечно же – в установке плохого замка виноваты Вы сам. Но вот в том, что в Ваш дом сразу полезут грабители – будет виноват уже автор публикации. Поскольку именно он сообщил вообще всем о том, что конкретно по такому-то адресу на двери плохой замок – и об этом узнали даже те, кто ранее на Ваш дом даже не смотрел, ошибочно считая его надёжно запертым (к Вашему же счастью)…

Ну вот хоть в таком варианте, надеюсь, будет чуть более понятно, в чём конкретно обвиняют автора те, кто в этой теме осуждает его действия…
Не совсем так. Некто обнаруживает, что на двери склада, которым вы заведуете, стоит очень хреновая дверь и щеколда вместо замка. Он приходит к вам и говорит вам об этом. Если вы чиновник в РФ, то первая мысль будет прищемить его за проникновение, чтобы неповадно было. Потому что деньги на стальную дверь и нормальный замок вы уже давно потратили.
Так ведь именно в этом-то и вся суть.
Тому самому условному «чиновнику» даже ничего и не сказали, даже не дали ему времени на исправление этого косяка. Опубликовали сразу. И сразу же чуть ли не с подробной инструкцией, как конкретно можно ломать.

Не спорю, вполне возможно, что при сообщении о проблеме руководство отделалось бы стандартной бюрократической отпиской. Но вот только после (после!) этого уже и можно было бы публиковать все подробности – с приложением ответов руководства и со всеми подробностями…

P.S. А автора, кстати, пока ещё никто не «прищемил», насколько вижу.
Насколько я понимаю, до этого случая и у нас и за рубежом были прецеденты, показавшие, что с большой вероятностью письмо админу в духе «у вас дверь не заперта, я внутрь не заходил» приводило только к проблемам у написавшего.
Имела места преступная халатность ответственных за сайт (уровень данных и уровень дыры). О таком надо говорить громко и четко.
Речь о том, что, как минимум – сначала сообщение об уязвимости с полным описанием в адрес админов, и только лишь потом (при включении «дурочки» и полном бездействии со стороны администрации ресурса) какие-то реальные публикации.
Грубо говоря, между этими событиями просто должен пройти некий промежуток времени (и чем больше, тем лучше).

Иначе это приведёт лишь к повышенному вниманию к ресурсу со стороны реальных злоумышленников – ещё даже до того, как руководство ресурса примет решение о том, приложить ли реальные усилия к устранению проблемы или просто «включить дурочку»…
Полностью поддерживаю такую логику для обычных ошибок и обычных сайтов. Но в данном случае это звучит как «тихо, на ухо сказать голому королю, что он голый».
ИМХО, тут случай совершенно иной – коли уж от такой утечки зависит не только «король», но и простые обычные люди.

P.S. Я тут уже просто устал писать о профессиональной этике. Впору хоть шорткат ставить на эту фразу… ((
Я прекрасно вас понимаю, просто пытаюсь донести мысль, что стандартный сценарий тут не катит в силу халатного отношения и большой вероятности негативных последствий для сообщившего.

Этот случай сильно отличается от случая, когда например у VK или еще кого-нить нашли какую-то хитрую уязвимость, позволяющую злоумышленнику что-то посмотреть из того, что закрыто. Там и сложность дыры другая и подход админов другой.
Так ведь главная цель – не предать огласке. А донести до админов информацию о дыре, чтобы закрыли. И тогда вообще никому не будет резона «выносить сор из избы».
Даже самим админам будет невыгодно докладывать руководству о каких-то «сообщивших» – дабы не лишиться премии, а то и вовсе работы…
В таких случаях, как тут описано, как мне кажется, цель не закрыть конкретную дыру, а обратить внимание масс на систематическое наличие дыр (диаметром с туннель для поезда) на подобных госпорталах.
«Обратить внимание масс» можно и иными, гораздо менее подробными способами – о которых уже писал выше. Речь исключительно об этом.
Как тут уже писали много раз, такие детские ошибки для тех, кто в теме, не требуют детализации вовсе. А вот те, кто не в курсе, могут почитать и понять диаметр дыры. И в этом смысле описание здесь полезно.
Уже писал тут, что далеко не все нашли бы эту дыру своими силами. А после публикации – уже гораздо больше народа.

Иначе говоря, озвучивать и описывать можно только уже закрытые дыры (тогда виновные точно так же могут быть наказаны, кстати). И максимальные усилия прилагать к тому, чтобы дыру закрыли, а не чтобы о ней все узнали…
Сорри, чуть не забыл. Вдогонку…
Для абсолютно подавляющего «большинства масс» вообще всё вот это вот наше обсуждение – тёмный лес. Они поверят любой «псевдо-технической» оптимистичной хрени, которую скажут по телевизору (условно). Ровно так же, как и любой «псевдо-технической» пессимистичной хрени, оттуда же.
Потому и ориентироваться исключительно на них – просто верх популизма, как мне кажется. Они же всё равно в этом ничего не понимают. И если исправят, и если не исправят – не-пой-мут-с.

Но это не значит, что мы должны относиться к ним свысока-снисходительно. Не значит, что при каждом подобном «разоблачении» мы должны плевать на их интересы. Они не виноваты, что ничего в этом не понимают.
Это ведь не просто какие-то «подопытные хомячки» – это наши с Вами родители, родственники, друзья, соседи, и так далее…

Вот об этом надо думать прежде всего при раскрытии подобных дыр. Причём, вновь повторю – это не снимает реальной ответственности с тех, кто такое допустил. Но и не даёт права запускать описание всех дыр в общий доступ.
Да, порой, увы, бывает и такое, что в целях общего блага приходится оказываться перед такими сложными морально-этическими дилеммами…
Они же всё равно в этом ничего не понимают.
И именно это и означает, что нужно использовать full disclosure.

Это ведь не просто какие-то «подопытные хомячки» – это наши с Вами родители, родственники, друзья, соседи, и так далее…
Прежде всего — это избиратели. И в их силах как поддержать закон, ограничивающий отвественность специалистов по безопасности, так и закон, увеличивающий меру отвественности за попытки что-то «неправильное» сделать.

Они поверят любой «псевдо-технической» оптимистичной хрени, которую скажут по телевизору (условно). Ровно так же, как и любой «псевдо-технической» пессимистичной хрени, оттуда же.
Это, на самом деле, не совсем так. Доверие к телевизору стремительно падает, доверие к тому, что публикуют на разного рода сайтах растёт.

Но тут очень важно — что говорится в первой статье о каком-либо событии. Будет в ней говорится о том, что web-сайт дерьмо и в нём куча дыр в безопасности — так это и будет воспринято. Будет говориться о том, что «наши враги» сломали наш великолепный реестр с помощью марсианских технологий под названием «SQL-иньекции», но мы их уже поймали и отправили в кутузку — тоже «прокатит».
И именно это и означает, что нужно использовать full disclosure.

Как раз это и означает, что надо трижды подумать, прежде чем пользоваться таким «ядерным оружием». Под ударом не только вы – но и ваши окружающие.

Прежде всего — это избиратели.

Да вы зае… уже этим своим «избиратели»!!!
При чём тут это вообще??? Да, с тем, что нынешний «король» дебил – даже не спорю. Но это ещё вовсе не значит, что вы должны «на примере» нынешних законов подставлять их, тех самых своих «будущих избирателей»! Вы наоборот, покажите им примеры как «и рыбку съесть, и на митинг не сесть». Ну вот просто очевидно же…
Вам что важнее – голоса или судьбы, если спросить совсем уж пафосно?

Но тут очень важно — что говорится в первой статье о каком-либо событии.

Не, тут не соглашусь.
«Первые» статьи бывают совсем разные. И, объективности ради – тупить тут могут совершенно все (хотя «госы», конечно, тупят на порядки чаще и стабильнее)).

В таких случаях "выносить сор из избы" нужно.

А если при этом вынесут и лично ваш «сор»?
Вы разработчик сабжевого сайта что-ли? О каком соре речь?
«Сор» – наши с вами (в том числе) приватные данные. Которые могут быть далеко не всегда лицеприятны, и публичной (!) огласки которых мы с вами можем и не желать (чего бы они ни касались, не только конкретно в этом случае).
И сохранность этих наших данных видится намного гораздо важнее и гуманнее любого иного вопроса в данном деле.

Поэтому сначала сохранность нашего «сора» – а только уже потом публичное бичевание виновных. «Э» – этика.

P.S. Был бы разработчиком этого «чуда» – мне было бы просто стыдно появляться в комментариях… )))
В таком случае, расслабьтесь, сор уже вынесен и упакован. То, что куча скрипт-кидди поимеет себе копию базы ничего не изменит (куда они ее денут-то?). Да и переловить их будет не сложно если что. Не забываем, что тот, кто влезет следом по наводке по закону виноват не меньше ТС.

&tldr; кому надо — те давно все слили и воспользовались, наличие данных у остальных ничего не меняет.
Там могут быть и совсем не «кидди» – а те, кто раньше просто не обращал внимания на этот ресурс (либо, как уже писал ранее – у кого просто не хватило мозгов на доступ к нему).

Вот вам пример даже без IT… Не все воры – профессиональные медвежатники и домушники. Чаще всего это просто те, кто вовремя узнал о какой-то «мазе» по какому-то конкретному адресу (отсутствие или нерадивость охраны, незапертые двери-окна, плохой замок и т.д.)…
P.S. Я тут уже просто устал писать о профессиональной этике.

Как мне кажется в этом и загвоздка. Вы ставите проф. этику выше здравого смысла, и в некотором роде выше закона, той самой статья 272.
А ваши оппоненты наоборот, и вероятно правильно делают, так как в статье 272 нет исключения для «этичного» взлома.

Там и не нужно исключение, потому что "этичный взлом" под нее не попадает. Уже писали прямо в этой ветке даже с прямой цитатой, кажется:


  1. Неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Скачал базу — есть состав преступления. Нашел дыру, но не эксплуатировал — всё нормально. И по некоторому совпадению это вполне укладывается в ту самую профессиональную этику.

Конкретно копирование происходит в любом случае — отправил из формы кавычку, получил ошибку SQL с какими-то данными — всё, эти данные были неправомерно скопированы. Модификация тоже нередко происходит, ведь что-то может писаться в базу при выполнении каждого запроса. Более того, отправляя кавычку невозможно заранее и наверняка знать, какие баги на серверной стороне и что именно произойдёт — там может быть и такой баг, который увидев кавычку вообще всю базу нечаянно удалит. Разбираться в мелких нюансах, копирование каких конкретно значений из базы считается копированием, а каких нет, и как часто в природе встречается баг удаляющий базу и мог ли хакер специально отправить кавычку с целью удалить базу — никто не будет. Уровень квалификации "экспертов" привлекаемых к таким делам давно всем известен.

У вас есть какие-то конкретные факты? Вы можете привести примеры судебных решений, которые подтвердили бы вашу трактовку этой статьи?


Уровень квалификации "экспертов" привлекаемых к таким делам давно всем известен.

Уровень квалификации в госструктурах очень разный, потому что нет некой общности "государство", обладающей какой-то единой квалификацией, а каждый раз вы сталкиваетесь с разными людьми. И разброс в квалификации там ничуть не отличается от того, что мы тут на хабре наблюдаем — от людей, которых вообще непонятно кто и зачем на работу в ИТ взял до отличных профессионалов.

Она то разная, и чисто статистически можно нарваться на квалифицированного специалиста. Но специально его искать никто не будет. У хакера денег нет чтобы отжать, дело не политическое, чего суетиться то?
Вы верно говорите, что государство это не один человек. Это машина. И для выполнения каких-то действий нужно чтобы несколько винтиков работали хорошо. Если случайно один окажется профессионалом, то остальные его работы быстро «исправят». А вес у дела небольшой. Пострадали граждане а не покемоны, так что действительно «давно всем известен».
Шанс есть только если ТС тупо лоханется где-то (что вполне реально. Помню как один опытный хакер банально перепутал окно браузера, принял браузер на домашней машине за браузер на «защищенной» виртуалке, и зашел на почту своего клона с личного айпи). А «эксперты» нужны только чтобы макулатуру плодить.
Да, загвоздка именно в этом. Этично сообщать о проблеме так, чтобы не пострадали непричастные люди. Этот параметр («чтобы не пострадали непричастные люди») – априори выше любого закона. В нём-то та самая этика и заключается, собственно…
Откровенно удивлён минусам на настолько простую мысль…

Если вообще-вообще утрировать и довести пример до абсурда и вообще лютого пафоса…
Допустим, вы знаете, что на каком-то важном объекте тупая охрана. Вы сразу же пишете об этом во всеуслышание. Завтра, пока эта самая тупая охрана ещё не очухалась – на объекте происходит теракт, туда пробрались реальные злоумышленники, прочтя конкретно вашу «наводку» (пусть и невольную, но по факту это именно «наводка»). Гибнет как тупая охрана, так и находящиеся там совершенно обычные люди.
Стоило оно того? Чья в этом будет бОльшая вина? Кто из минусовавших сможет подробно ответить?

Не минусовал, но отвечу: не того, кто сообщил, если он не хотел подобного исхода, например искренне веря, что террористы это бородатые мужики, живущие где-то лесах и газет не читающие, или наоборот искренне веря, что нет никаких террористов, а есть внештатные сотрудники спецслужб (пускай иногда это не подозревающих), а сами терракты планируются этими спецслужбами, которые и так всё знают.


Виновных будет две группы: непосредственно террористы и их гипотетические начальники из спецслужб и отвечающие за охрану. Более того, это может оказаться одна группа, решившая провести терракт с какой-то целью типа увеличения финансирования охраны, но не рисковавшая это делать, пока была уверена, что слабые места охраны известны только охране.

Послушайте, что-то вы совсем уж в ненаучную фантастику ударились. Донцова рыдает от зависти… ))

Ещё раз, для понимания – тут сейчас никто не пытается «пришить» автору какую-то статью с точки зрения закона. Говорится исключительно о личной моральной ответственности. Теперь понятнее, надеюсь?

Если всё ещё нет, то могу дать ссылку отдельно на каждое слово: личная моральная ответственность

К личной моральной ответственности слово "вина" неприменима, имхо. Для неё есть "совесть мучает". В лучшем случае "винить себя". Но вопрос "Чья в этом будет бОльшая вина?" подразумевает обвинение со стороны.

В вашей моральной ответственности было поступить именно так, а не иначе. Но совершение достаточно «виртуального» морального выбора – увы, порой может повлечь за собой вполне реальные вредоносные последствия для окружающих.
И тогда слово «вина» становится уже также вполне реальным. Причём, увы, порой не ограничиваясь муками совести, а прямо попадая в разряд общественно-вредных деяний…

P.S. Мне в каждом комментарии упоминать WannaCry – чтобы вы, наконец-то, заметили эту самую прямую аналогию и хоть как-то её прокомментировали? Там ведь ребята-то действовали прямиком по вашему методы. Результаты известны. Прокомментируете, что там должно быть у авторов публикации – «вина» или «муки совести»?

Слово "вина" в подобных случаях уместна лишь в одном случае — при наличии умысла на использование опубликованной информации в противоправных целях.


А комментарий будет не в вашу пользу как бы. Большое количество лет в Windows была уязвимость, которую неизвестное количество лет эксплуатировали в АНБ как типичные "черные хакеры", нанося неизмеримый вред, возможно даже не частным лицам, а государствам, включая Россию. Возможно даже эксплуатация уязвимости приводила к разрушению государств, войнам и многочисленным человеческим жертвам. И это те самые официальные инстанции, в которые вы советуете обращаться.


Кто-то опубликовал подробную информацию об уязвимости и, насколько я знаю, её эксплуатанте, но даже тогда MS не пошевелилась, чтобы её закрыть, или, хотя бы, отключить уязвимый сервис. И только когда был нанесён реальный ущерб, уязвимость закрыли. И я даже не считаю, что публикантов должна мучать совесть, не то, что их можно обвинить в пособничестве лицам, произведшим атаку где-то через месяц после публикации.

Слово «вина» в подобных случаях уместна лишь в одном случае — при наличии умысла на использование опубликованной информации в противоправных целях.

К вашему сожалению, отсутствие умысла далеко не всегда означает отсутствие вины. Это вам скажет кто угодно, от соседа до того же уголовного кодекса. По крайней мере, не знаю ни одного случая, когда в суде проканывала фраза вроде: «Ну я же не хотел»…

И я даже не считаю, что публикантов должна мучать совесть, не то, что их можно обвинить в пособничестве лицам, произведшим атаку где-то через месяц после публикации.

Странно, что не считаете. Учитывая количество пострадавших.
Причём, сама-то МС тогда отреагировала достаточно оперативно (вопреки вашим словам). Но вот пропатчиться успели не все. Скажите теперь ещё, что все «сами виноваты»…

Уголовный кодекс гласит, что соучастие, в том числе пособничество, должно быть умышленным, чтобы признать человека виновным. Соучастие без умысла, по легкомыслию или небрежности не влечёт признание вины.


А "я же не хотел" довольно часто переквалифицирует действия с, например, убийства на тяжкие телесные.

А, как уже говорил – тут никто и не пытается «пришить» автору статью. Говорится об истинной вине (что далеко не всегда совпадает со статьёй).
Либо вы постоянно забываете этот момент, либо намеренно пытаетесь акцентировать совершенно на другом…

P.S. И, если уж зашла речь об убийствах – вы даже пример выбрали, который противоречит вашей же позиции. «Тяжкие телесные» – уже само по себе преступление, даже без смерти. Впрочем, ещё с прошлой темы понятно, что законы – явно не ваше… ))
В нашем же случае получается что-то вроде непредумышленного убийства (то бишь, «причинение смерти по неосторожности») – тоже вполне себе статья, как ни странно. И тоже влечёт за собой определённые последствия, как ни странно…

Истинной вины вообще нет, если не считать виновными любые действия или бездействие, породившие какие-то следствия.
А тут даже причинно-следственной связи нет. Не является информационная публикация причиной противоправных действий третьих лиц, если не содержит призывов и т. п. Причина — желание некоторых лиц совершать противоправные действия.


Пример не противоречит моей позиции — людей признают невиновными в убийстве на основании "я не хотел убивать, хотел только покалечить". То, что их деяния квалифицируются по другим статьям УК — деталь в данном случае. С них снимают обвинения в убийстве. Что, как говорится, и требовалось доказать.

P.S. Мне в каждом комментарии упоминать WannaCry – чтобы вы, наконец-то, заметили эту самую прямую аналогию и хоть как-то её прокомментировали?
Для начала расскажите кто и когда создал программу, распространяющуюся через уязывимость на сайте РОСОБРНАДЗОРа и шифрующую винчестер пользователя — потом можно будет об аналогиях говорить.
Для начала избегайте настолько буквального понимания – потом можно будет об аналогиях говорить… ))

Нахождение уязвимости >> Публикация уязвимости >> Уязвимость известна злоумышленникам >> Вред простым пользователям.
Не видите аналогию?
Минус означает, что не видите аналогию, или что просто нечего дальше ответить про аналогии? )))

P.S. Ей-богу, некоторые порой как дети малые. «Не могу ответить, так хоть минусану со злости».
Минус означает, что не видите аналогию, или что просто нечего дальше ответить про аналогии? )))

Плохая аналогия подобна котёнку с дверцей.

Нахождение уязвимости >> Публикация уязвимости >> Уязвимость известна злоумышленникам >> Вред простым пользователям.
Не видите аналогию?
Дверца.

Нахождение уязвимости >> Публикация уязвимости >> Уязвимость известна злоумышленникам >> Непоправимый ущеб, который нельзя возместить никакими усилиями
Уточнённая фомулировка.

Вот ваша дверца в здании
Вот ваша дверца в сейфе
А вот тут она же — в котёнке.

И вот вся дискуссия — и вертится вокруг уместности дверцы в этом котёнке. В настоящее время реестр дипломов уже есть, но архивы на местах — всё ещё хранятся.

Так что даже если предположить «самое страшное»: это была единственная копия базы, в которую зломышленники, используя уязвимость, внесли изменения — честное слово, для того, чтобы заказчики такого ущербного поделия поняли, всерьёз поняли, что так — делать не стоит… то время, которое тысячи секретарей в тысячах ВУЗов потратят на повтороное вбивание данных — не жалко. Потому что если люди допускают такие косяки — то тут банльного выговора (которым всё закончится если поступить как вы предлагаете) — маловато будет.

Сама эта база секретом не является, как уже много раз говорилось, а то, что какое-то время на чёрном рынке будет задёшево доступна последняя версия — ну и чёрт бы с ним, кому от этого так уж плохо будет.

Вот тут вы говорите:
Я просто реально не вижу никого, кроме них, кто реально пострадал.
Верно, вы больше никого не видите. А я вижу. Исключительно про этот момент и вообще все споры в данной теме (не только с моей стороны), собственно…
Не могли бы вы, о великомудрый пристраиватель дверцы к котёнку, рассказать про то, кто именно получил непоправимый ущерб от данной статьи — где-нибудь в альтернативной вселенной?

Или рассказывайте — или прекратие уж пристраивать дверцу к котёнку. Она уместра в дому, сейфе или даже яхте — но никак не в котёнке.

Могу предложить вариант: а альтернативной вселенной уязвимость так за 10 лет никто и не починил, а за это время вся информация о дипломах, кроме этой базы, по прежнему хранящейся в единственном экземпляре на этом самом сервере осталась единственным каталогом дипломов, при реогранизации все остальные были уничтожены. И вот тогда-то злоумышленники и откопали эту статью и уничтожили эту базу — после чего наступил вселенский хаос.

Вы что-то подобное, что ли, предполагаете? Или где? Что, собственно, позвляет вам использовать все ваши аналогии — где люди получают непоправимый ущерб и компенсировать его в принципе невозможно — и позволяют его «притягивать за уши» через ваши аналогии сюда, где ни в каком, даже самом худшем случае, никто не получает никакого ущерба, кроме «выговоров с занесенеием» и, может быть, мозолей на пальцах?

P.S. И да — альтернативную вселенную где всем всё пофиг и единственная база с дипломами остаётся 10 лет уязвимой и никто её бэкапов по прежнему не делает — мне не жалко. Если во вселенной руководят клинические идиоты, то её уже ничто не спасёт…
Слишком много слов…
кто именно получил непоправимый ущерб от данной статьи

Непоправимый – вряд ли кто-нибудь. Но разве для вас ущербом является лишь то, что непоправимо? Что за максимализм такой?
Непоправимый – вряд ли кто-нибудь. Но разве для вас ущербом является лишь то, что непоправимо? Что за максимализм такой?
Максималисзм — это у вас, когды вы словами «вред, он как та рыба – не бывает второй свежести» приравниваете насморк к бубонной чуме.

Все ваши примеры приравнивают непоправимый ушерб к поправимому — а потом используют шкалу (вместо бинарного подхода) для доступности дыры. Ну просто потому что иначе нужные вам выводы не получаются.

Заметьте: VolCh — с его чёрно-белым миром и я, с миром, в котором много полутонов и где затраты секретаря на повторную выверку документов никак не могут быть сравнимы с убийством и безвозвратной потерей чего-либо, приходим, в общем-то, к одним и тем же выводам — и только вам, исказив мир так, чтобы в нём часть вещей стала иметь градации, а часть — осталась бинарной, удаётся «натянуть сову на глобус»… что, собственно, и вызывает реакцию отторжения.

Мне вот интересно: вас кто-то учил строить интерпретацию фактов так, чтобы она подгонялась под нужные вам выводы или жизнь на Запада просто этого требует и овладение лицемерием происходит автоматически?
Во-первых, максимализм – это именно когда «либо всё, либо ничего».
Во-вторых – голой бинарности вообще мало в мире. Поэтому для определения каких-либо поступков почти всегда приходится пользоваться полутонами, нравится это нам с вами или нет. И итоговый «вердикт» всегда складывается из того, каких полутонов в итоге оказалось больше.
В-третьих – даже наличие полутонов не исключает неких базовых констант, вроде всё той же «не навреди» (которая впрочем, имеет свой немалый вес даже при мерянии полутонами)…

И, наконец, в-четвёртых, мне вот ещё более интересно – с какого перепугу тут вдруг вообще взялись какой-то Запад и какое-то «лицемерие»??? Это здесь вообще каким местом, не удосужитесь пояснить? Дабы облегчить вам задачу – честно пойму и приму даже объяснение в виде «просто пятница была, сморозил нечаянно»… )))
И, наконец, в-четвёртых, мне вот ещё более интересно – с какого перепугу тут вдруг вообще взялись какой-то Запад и какое-то «лицемерие»??? Это здесь вообще каким местом, не удосужитесь пояснить? Дабы облегчить вам задачу – честно пойму и приму даже объяснение в виде «просто пятница была, сморозил нечаянно»… )))
Если бы всё было так просто. Очень многие пытаются примерить 1984 на СССР или современную Россию, но ведь он же про Англию писал. И мой опыт общения с коллегами с Запада показывает что лицемерие (или, если хотите, «двоемыслие») — это не что-то, что было выдумано для книги, это если не основа Западного общества, то, как минимум, очень важная его часть.

Когда нет каких-то идей, на которых строится картина мира, а есть некоторые принципы, которые должны быть соблюдены… и если реальность с этим принципами несовместима — то тем хуже для реальности. Разные группы (правые, левые, зелёные, фиолетовые) — отличаются главным образом тем, какие именно принципы они считают правильными, но сама идея — что принципы важнее реальности и для их спасения двоемыслие необходимо — в общем, даже не обсуждается.

Вот тут я уже приводил пример тренинга, где обяснялось, что дискриминация ни по каким признакам недопустима — но при этом общаться с представителями компаний, про которые вы знаете, что против них ведётся расследование — нельзя. Но… как? Это же дискриминация! А вот так же, как и тут — есть правила, следующие из неких принципов, а имеют ли эти принципы смысл — не обсуждается.

А ещё есть суд. Который исходит из совершенно безумного постулата о том, что законы — это и есть подобные принципы… а если они где-то противоречат друг другу, то вместо того, чтобы решить — какой из двух законов важнее и почему придумываются совершенно галлюциногенные интерпретации оных законов, призванные обьяснить почему, несмотря на то, что в них написаны прямо противоположные вещи — противоречия нет и «всё в порядке».

И, насколько я вижу, это — совершенно никого не смущает! Ваше Тут «бинарность» только в отношении вреда. Но в отношении доступности дыры – нет это ведь всё та же конструкция!

Если нам нужно, чтобы наши «аналогии» работали — то мы обьявим «вред» бинарной величиной, а если «доступность дыры» от такого подхода перестанет удовлетворять нашим идеям — то тогда, значит для неё нужно отказаться от бинарного подхода.

Это — нормальный подход для двоемыслия, ведь из двух противоречивых постулатов мы можем вывести всё, что угодно… а значит — и то, что нам нужно… но для россиях — он глубоко чужд: если уж у нас так получилось, что у нас два противоречивых принципа — то нам нужно выбрать какой-то один из них… и желательно этот выбор чем-то обосновать…

Во-вторых – голой бинарности вообще мало в мире. Поэтому для определения каких-либо поступков почти всегда приходится пользоваться полутонами, нравится это нам с вами или нет. И итоговый «вердикт» всегда складывается из того, каких полутонов в итоге оказалось больше.
Отлично — но как это согласуется с вашими же словами Вред, он как ты рыба – не бывает второй свежести. Он либо есть, либо его нет.?

В-третьих – даже наличие полутонов не исключает неких базовых констант, вроде всё той же «не навреди» (которая впрочем, имеет свой немалый вес даже при мерянии полутонами)…
А вот тут — позвольте не согласиться. Без боли нет роста. Во многих случаях причинение некоторого количестве вреда — самая лучшая стратегия в долгосрочной перспективе. Принцип «не навреди» — это слишком широкая метла, ей мноооого чего можно оправдать. Безусловным он становится только если речь идёт о невосполнимом вреде (убийство человека, потеря уникальных исторических артефактов и т.п.) — чего, как вы после долгих дискуссий признали, в данном случае — таки нет.
Боже ж ты мой, «скокабукафф»…

Самый главный принцип всего один – «не навреди». Всё. Все прочие вот эти вот «теории» – спишем на пятницу.

Отлично — но как это согласуется с вашими же словами Вред, он как ты рыба – не бывает второй свежести. Он либо есть, либо его нет?

Да прекрасно согласуется.
Либо вред окружающим превышает пользу от «принципов». Либо наоборот.

Без боли нет роста. Во многих случаях причинение некоторого количестве вреда — самая лучшая стратегия в долгосрочной перспективе.

Я тут не зря уже упоминал т.н. «большевистскую мораль» – дескать, если не убили, то и скажи спасибо, и то радость…
Простите уж, но конкретно в этом вопросе у вас получается просто какой-то латентный сталинизм.
Самый главный принцип всего один – «не навреди». Всё.
Серьёзно? Вот прямо и «всё»?

Давайте рассмотрим реальный пример. У человека находят операбельный раз, а он девять месяцев лечится травами и иглоукалыванием. Результат — известет.

Видите аналогию, о наш мудрый их любитель?

Простите уж, но конкретно в этом вопросе у вас получается просто какой-то латентный сталинизм.
Простите, но конретно в данном случае уязвимость стала недоступной для использования через час и были закрыта полностью через шесть.

Я очченнно сомневаюсь, что за этот час куча зломышленников, днями и ночами сидящая на Хабре, смогла нанести достаточно вреда, чтобы это было хотя бы сравнимо с тем, что могло бы случиться за несколько недель тупой переписки с техподдержкой.

P.S. А Сталин был, кстати, очень хорошим и грамотным менеджером. Вопрос: стоило ли всю страну превраать в один большой завод — он весьма интересен, но уж всяко его подходы были более действенными чем у многих его предшественников и последователей.
Видите аналогию, о наш мудрый их любитель?

Абсолютно вот не вижу. Самим себе можем вредить сколько угодно – тут уж каждый «сам себе злобный Буратино», исключительно в меру собственных (!!!) тараканов, которые не действуют на окружающих…

Я очченнно сомневаюсь, что за этот час куча зломышленников, днями и ночами сидящая на Хабре, смогла нанести достаточно вреда, чтобы это было хотя бы сравнимо с тем, что могло бы случиться за несколько недель тупой переписки с техподдержкой.

Во-первых, кумулятивный эффект уже упоминал.
Во-вторых, даже если вдруг (надеюсь!) действительно ничего не случилось – это ни разу не оправдание подобной безалаберности.
Если уж даже речь зашла о сомнениях и всяких «БЫ» – просто представьте, что было БЫ, если БЫ заинтересованные лица вовремя не прочли этот пост. Это и называется – подставление людей под удар ради принципов. Могло БЫ сработать, а могло БЫ и нет…

А Сталин был, кстати, очень хорошим и грамотным менеджером.

Ну, хоть в этом определении истоков вашей позиции я теперь уж точно не ошибся…
Самим себе можем вредить сколько угодно – тут уж каждый «сам себе злобный Буратино», исключительно в меру собственных (!!!) тараканов, которые не действуют на окружающих…
Прекрасно, восхитетльно, отлично. Как насчёт гомеопатов и игроукалывателей, к которым приходят раковые больные?

Во-вторых, даже если вдруг (надеюсь!) действительно ничего не случилось – это ни разу не оправдание подобной безалаберности.
Извините — но это не безалаберность. Full disclosure — это выбор, который многие делают сознательно и имеют для того некоторые основания. Ссылку на Шнайдера я уже давал — и, уверяю вас, он не одинок.

Могло БЫ сработать, а могло БЫ и нет…
Ровно то же самое можно сказать про вашу маниакальную идею «не навредить».

Совершенно неизвестно сколько времени заняла бы переписка с разными инстанциями и чем бы всё это кончилось. И далеко не факт, что full disclosure в среднесрочной перспективе и, особенно, долгосрочной перспективе, хуже, чем что-то ещё. Уж в том случае если сайт явным образом не имеет никаких Bug Bounty и прочих простых способов сообщить об уязвимости — full disclosure имеет право на жизнь.

Как тут уже писали: возможность получать данные о дырах первыми — это не что-то само-собой разумеющееся, это что-то, что разработчики сайтов должны заслужить! И если вы посмотрите на тот комментарий — то увидите что эта точка зрения не является маргинальной. Отнюдь.

А Сталин был, кстати, очень хорошим и грамотным менеджером.
Ну, хоть в этом определении истоков вашей позиции я теперь уж точно не ошибся…
Извините, но я человек, который привых доверять фактам. А они таковы: в XX века качество работы многих «CEO» разных стран подверглись жестокой проверке. Сталин её выдержал. Его предшественники, последователи, а также многие соседи — нет. Это не что-то, что стоит обсуждать, это просто факт.

А вот что из него следует — это другой вопрос.
Как насчёт гомеопатов и игроукалывателей, к которым приходят раковые больные?

Тоже всего лишь «сами себе», по большому счёту…
Full disclosure — это выбор, который многие делают сознательно

Кто же спорит, что сознательно?
Вопрос лишь в том, что пресловутая «сознательность» далеко не всегда является синонимом «правильности», мягко говоря.
Маньяки вот тоже вполне сознательны, например – но исключительно в рамках своего собственного искажённого восприятия мира…
Совершенно неизвестно

А вот вы сначала выясните на практике – известно или нет. А уже только лишь потом прибегайте к крайним мерам.
Если же сразу к крайним мерам… Ну, вы в курсе, чем это всё воняет…

Сталин её выдержал.

Несомненно. Но какой ценой?
Видите, тут опять всё упирается в нашу дискуссию.
UFO just landed and posted this here

В целом, пожалуй, да. Но недооценил своих конкурентов, подняв ставки. Недооценил как эффективность второго усатого товарища, так и возможность сотрудничества с ним остальных. Счёл недостаточно реалистичным сценарий при котором в борьбе с ним одни конкуренты начнут помогать другим конкурентам.


Кстати, некоторые считают, что сотрудничество стало возможно исключительно благодаря эффективности "нашего" усатого, который, с одной стороны, сумел показать, что без прямой безвозмездной помощи ресурсами очень скоро остальным конкурентам придётся иметь дело с объединенной ресурсной мощью двух "корпораций", а, с другой, что эту помощь он сможет эффективно использовать, более эффективно чем сами остальные конкуренты. Показал неприемлемыми риски сценария "пускай чёрный орёл и бурый медведь обескровливают друг друга в почти равной схватке, а мы займёмся обессиленным победителем", показав, что в случае проигрыша медведя, чёрный орёл выйдет из схватки более сильным, чем вступил в неё.

UFO just landed and posted this here

С точки зрения права практически нет разницы между двумя этими способами.

В том-то и дело, что не просто "обнаружил", а зашел внутрь и вынес со склада часть содержимого. И вот об этом и идет весь спор — меру знать надо, блин. Видишь плохо закрытую дверь — скажи хозяину, но не лезь внутрь (а если полез — то уж прости, но сам дурак и дальше все на доброй воле хозяина держится). Видишь уязвимость ИТ-системы — скажи хозяину, но не эксплуатируй.

Но когда уязвимости публикуются в открытом доступе, то что-то мне подсказывает, что это совершенно напротив – провоцирование противоправных действий…

Нет, это не провокация ни в коем случае. Это способ добиться исполнения владельцами ресурса своих обязанностей путём публикации сведений о неисполнении или ненадлежащем исполнении — обычная практика, поддерживаемая Конституцией России, в частности ст. 45 п. 2 и ст. 49 п. 2, а также множеством законов, при этом информация об способах получения несанкционированного доступа к данным не является запрещенной к распространению, в отличии от, например, информации о способах изготовления наркотических веществ.


В отличии от аналогии с замком, тут есть конкретные юридические и должностные лица в чьи обязанности входит защита наших персональных данных и надзор над надлежащей защитой.

Именно что провокация.
Не провокация – это когда точно знаешь, что конкретные разрабы конкретного ресурса точно получили твоё сообщение. Только они, и никто другой. Даёшь им время тихо-спокойно залатать свои дыры. Потом убеждаешься, что ресурс теперь точно «в норме».

А вот когда информация об уязвимости сразу же «без объявления войны» публикуется «в полный шаринг» – вот это уже реальная провокация, по принципу «налетай кто хошь, делай шо хошь, и пох что будет»…

Неужели даже теперь разница непонятна???
Есть же куча программ для теста на подобные уязвимости. Даже есть фирмы, которые тестируют систему на проникновение. Но зачем тратить деньги на них, когда можно купить новый автомобиль, отрапортовать наверх, что крутая система построена и запущена, а бабки успешно попилены?
Что мешало ему сообщить об ошибке приватно? Если боялся преследований, он мог бы сделать это анонимно. Вместо этого он сам совершил противоправные действия и на какое-то время дал неопределенному кругу лиц фору перед разработчиками\админами сервиса.
«Но без настолько подробных описаний „
Да какие описания нужны?
Для скрипт киди достаточно 2х слов: Адрес, SQLinjection
Все.

Все эти описания экономят от силы 1-2 часа любого кто вообще примерно представляет как работает SQLinjection. А это по сути любой студент т.к. SQLinjection проходят в институте.

Автор там скорей всего не первый и даже не сотый кто пользовался этой уязвимостью.

Просто не зависимо от сложности лучше сначала оповестить владельцев и РКН а потом уже писать статью о том как все плохо.

Вообще это скорей всего сделал какой то ребенок 18 лет просто что бы похвастать. Вот и все.
Для скрипт киди достаточно 2х слов: Адрес, SQLinjection

Даже достаточно "адрес/название" и "детская дыра".

Для скрипт киди достаточно 2х слов: Адрес, SQLinjection

Просто не зависимо от сложности лучше сначала оповестить владельцев и РКН а потом уже писать статью о том как все плохо.

Да, вот именно об этом и шла речь. Сначала оповещение – и только уже потом «наводки» для всевозможных несознательных организмов с неокрепшими умами. И желательно описывать проблему уже после её решения – из серии «как делать не надо», чтобы другие научились.
И чтобы (ну а вдруг, чем чёрт не шутит?)) всяческие госорганы на этом примере тоже чуть лучше смогли понять, чего требовать от исполнителей, какие обязательные условия вносить в контракты…
Ох, посадят вас за такое. Лежит дыра в безопасности — проходи мимо.

Ох, как же хорошо, что государство позаботилось о том, что мои персональные данные можно хранить только на серверах РФ, и теперь они в безопасности.
Хотя, стойте, неужели наши эксперты-законотворцы снова что-то упустили?

Не-не, вот только, пожалуйста, не надо сейчас «хайповать» и путать тёплое с мягким. При чём тут приснопамятный закон о персональных данных (почти во всём действительно дебильный, к слову)))???

Речь о кривой системе (и некомпетентных админах) конкретной федеральной (ключевое слово!!!) службы РФ. Ну а где ещё должны храниться такие федеральные данные, если не на серверах внутри РФ? Тут не в законе проблема, не кровати переставлять надо…

Я не путаю теплое с мягким, а всего лишь указываю на непоследовательность, и полную некомпетентность (как минимум сфере IT) наших чиновников.
Запрещать кому-то хранить адрес моей почты и никнейм на немецком хостинге — пожалуйста. Позаботиться об элементарной грамотности руководства федеральных (ключевое слово!) служб РФ, подобных обсуждаемой в статье? Ввести для них ответственность за такие факапы? Ну, и уж совсем сказкой было бы bug bounty, вместо уголовного преследования (об этом уже писали выше).
В общем, можно еще долго перечислять то, что логично и правильно было бы сделать в первую очередь, сами понимаете.

Да вполне они последовательны…
Закон о персональных данных – исключительно для удобства «админов в штатском». А вот общая некомпетентность – это уже системная болезнь.
Писал лишь о том, что тут одно к другому никак не относится. При иных чиновниках – глядишь, даже тот же закон уже и не выглядел бы настолько дурацким…

При том, что именно по этому закону дамп подобной базы является противоправным деянием. Если владельцы сайта не обязаны защищать персональные данные граждан и доступ к ним им вреда не наносит, то это не уязвимость, не взлом, а просто использование недокументированной особенности системы для получения публично доступной информации в удобной для себя форме. Тут просто по факту наличия уязвимости основания для преследования владельцев ресурсов за нарушение закона о ПДн.


P.S. А уж если государство решило хранить где-то персональные данные своих граждан, то прежде всего оно должно руководствоваться благом граждан, а не место физического расположения этих данных.

А разве кто-то говорил, что руководство конторы-владельца сайта не должно понести наказание? Должны, факт. Причём, не в виде нахождения «стрелочников» (разрабов и админов) – а конкретно те, кто курировал этот проект.

Просто не надо валить всё в одну кучу. Одни пусть отвечают конкретно за свои косяки, а другие конкретно за свои косяки. Но не все вместе «перекрёстно» за косяки друг друга. Вот, о чём говорилось…
UFO just landed and posted this here
нет, просто нам преподносили это в формате «там их крадут, а тут мы их защищаем»
Кто-нибудь уже добавил туда записи о фейковых дипломах?
Так можно получить высшее образование за 2 минуты :)
и как быть тем чьи данные могли попасть в руки плохих людей? конкретно я имею ввиду о пенсионных накоплениях, насколько я слышал паспортные данные для изменения пенсионных отчислений не нужны
>>Хочется понять, с чем же мы работаем, что это за база данных такая?

Например, Госуслуги и mos.ru на Postgre и об этом говорил разработчик на Эхо Москвы у Плющева.
Какая неприятная ситуация, причем для всех. Вот не поверю, что Автор нигде не налажал — следы всегда остаются. Если взболтнули знакомым, то еще печальнее.
ок гугл: ближайшие рейсы
UFO just landed and posted this here
Какой инициативы? Запрет публикаций? Расстрел разработчиков?
ну да, не платить же этим холопам за что они ломают все.
*Картинка,_где предложившего_выкидывают_в_окно.jpg*
Скорее запрет публикаций, чем расстрел.
Если о проблеме не говорят [громко], то ее вроде как и нет.

Регламентированный порядок сообщений об уязвимостях. Например,


  • исследователь, обнаруживший уязвимость ресурса, обязан сообщить об этом эксплуатанту
  • эксплуатант обязан на ресурсе публиковать контакты лиц, ответственных за безопасность или предоставлять средства связи с ними (формы обратной связи, чаты и т. п.)
  • в течении 30 дней для уязвимостей не представляющих большой общественной опасности, или N дней для представляющих, эксплуатант обязан либо ликвидировать уязвимость, либо прекратить эксплуатацию ресурса, либо дать ответ, что данный способ использования не является уязвимостью
  • по истечении срока или получении ответа от эксплуатанта, исследователь имеет право опубликовать детальный отчёт об уязвимости.
  • при соблюдении данных правил исследователь освобождается от любых видов ответственности, если его исследования не принесли реального вреда и(или) вред ограничился несанкционированным копированием защищаемой законом информации для проверки такой возможности, а копия информация была удалена без использования в каких-либо целях.
для уязвимостей не представляющих большой общественной опасности

кому-то закон может показаться полезным, ведь на экспертизе опасности\не опасности можно деньжат освоить…

исследователь, обнаруживший уязвимость ресурса, обязан сообщить об этом эксплуатанту

Вы не продолжили после слова «обязан», тут должно быть наказание? Так?

при соблюдении данных правил исследователь освобождается от любых видов ответственности

тонкая штука… никто не помешает квалифицировать по старым добрым статьям УК, иначе под любой взлом будут превентивно писаться письма «заботы о себе»

Имеется в виду обычное правоприменительное значение общественно-опасного деяния. Чаще всего экспертиза не нужна.


Наказание в случае разглашения информации о уязвимости без отправки информации эксплуатанту или до получения ответа от него. Никакого специального наказания, обычная квалификация деяний "по старым добрым статьям УК".


Ну, имеется в виду, что если кроме неправомерного доступа к охраняемой законом информации вред не причинён, а сам доступ повлёк только техническое копирование информации с последующим уничтожением копии, то по факту доступа к ответственности исполнитель не привлекается. Что-то вроде "Лицо, давшее взятку, освобождается от уголовной ответственности, если оно активно способствовало раскрытию и (или) расследованию преступления и либо в отношении его имело место вымогательство взятки со стороны должностного лица, либо лицо после совершения преступления добровольно сообщило в орган, имеющий право возбудить уголовное дело, о даче взятки."

сам доступ повлёк только техническое копирование информации с последующим уничтожением копии, то по факту доступа к ответственности исполнитель не привлекается

Была публикация (про ответственность за поиск уязвимостей в целом), там речь шла про то, что уголовная ответственность исключается, если копирования не было в принципе:
Важно иметь в виду, что привлечение к уголовной ответственности возможно только в том случае, если действия виновного повлекли материальные последствия: уничтожение, блокирование, модификацию, копирование компьютерной информации. При отсутствии таких последствий вина в совершении преступления по статье 272 УК РФ исключается.

Поэтому если, как вы пишете, было копирование информации, а затем ее удаление — то это еще вопрос, будет ли такое удаление основанием для снятия ответственности, в зависимости от фактов, все может быть не так однозначно.

Я имею в виду принятие к УК поправки типа приведенного примечания к статье о даче взятки.

На сегодняшний день это дикость! Дикость публиковать такое на хабре. Лет десять назад еще можно было увидеть на всякий античатах и ксакепах посты вида:
Я взломал сайт ПентОгона на уроке информатики па средством этого инжекта: site.gov?params='I\'m+hacker

Дикость, дикость.
Моему возмущению нет предела!
Тихо, тихо, не подсказывайте людям, а то следующая публикация может будет про взломанный сайт обороны, и хорошо если американской, а если нашей? Тогда вас в подстрекатели запишут)
Ну вообще то, ломать американский мин. обороны можно легально, hackerone.com/deptofdefense, у них есть баг баунти (может и без баунти, правда) программа.
Ждём статью об утечке данных, собранных по закону Яровой…
Насчет статьи не уверен, а вот по поводу утекших данных, думаю, стоит мониторить Мигалки Клуб и подобные форумы и сайты. Можно зайти и посмотреть, что и за сколько можно купить о том или ином человеке (в общем-то, цены там демократичные).
Судя по версии СУБД, показанной в данной статье, на сервере используется ALT Linux SPT 6, сертифицированный ФСТЭК РФ по 4 классу РД СВТ. Интересно а сам программный код сайта сертифицируется по работе с конфидициальной информацией? Ибо в итоге оказался самым слабым звеном.

А если сказать что приснилось? Менделееву же приснилась таблица…
Как проверят?

Вы как маленький… Закажут экспертизу, «эксперт» вынесет заключение, что не приснилось, а лично сделал.
Сайт лежит. Все базу походу выкачивают=)
Если по делу, то против поступка автора раскрыть уязвимость, не дав времени на починку. Дыры есть везде, в сайтах госструктур этих дыр больше, чем где либо, т.к. кфалификация разработчиков в среднем крайне низкая. Провести тест на адекватность и дать хотя бы неделю на исправление — вполне нормально. Если бы не закрыли и пытались наезжать, было бы показательно, да и в публикации это можно было бы отразить. А в данной ситуации я честно не понимаю, чего хотел добиться автор.
Наказать. Просто наказать, не давая шанса исправить все это по-тихому и сохранить лицо.
Надеюсь, после этой истории в госструктурах додумаются сделать багбаунти или хотя бы место, куда можно сообщить об уязвимостях на сайтах госструктур и получить рекацию, направленную на устранение уязвимости, а не ответ вида «пнх, терроюга. за тобой уже выехали».
Вряд-ли. Тут менталитет менять надо. А для этого и сотни лет может не хватить.
Как пример-потёмкинске деревни и баннеры, которыми завешивают в наши дни обветшалые дома перед приездом «высоких» гостей.
Лично мое имхо. Все правильно топикстартер сделал (если делал с левого ип)
Надо сообщить — звучит прекрасно. Вот только. Не надо. Если при разработке приложений подобного уровня косячат с инъекцией, то не надо. С забиванием этих данных в ИС для ВУЗов последним проели всю плешь и для установки рабочих мест, куда сия инфа забивается уроблено уже, и будет угроблено много денег с интересами и у ФСТЭК и у МинОбра и у прочих окологосударственных организаций. И если за подобное бабло не удосужились написать нормальную форму без инъекций, ну, значит клиника. И повод для соответствующих органов проверить данный тендер. А автору, творческих успехов, желательно из под ВПН. ^ _ ^
Вот только. Не надо.

«Не надо им сообщать, пусть им будет хуже» – звучит прекрасно. Вот только это, на секундочку, не какая-то частная контора. И там хранятся данные, в том числе, и о Вашем дипломе (сюрприз). И если вдруг завтра эти данные будут утеряны, либо испорчены, либо вообще переписаны на кого-то другого – Вы же сам первым будете бегать с восстановлением.
И почему-то готов поспорить – Вам нисколько не будет легче от того, кого там за это уволили и какой новый тендер заказали. И не будет легче даже от того, что не нашли топикстартера (которого, искренне надеюсь, всё же не найдут). В конечном итоге бегать всё равно придётся именно Вам лично.

Ну неужели настолько простые мысли настолько сложны для понимания?..
Ну неужели настолько простые мысли настолько сложны для понимания?..
Ну неужели вы считаете, что там доступ к мастер-копии базы и бэкапов нет?

А если даже и так — то нужно как раз шухер сейчас поднять пока данные хранятся не только там, но ещё и в бумажном виде.

Угробят базу, попотеют с вбиванием или перепроверкой данных недельку — авось думать научатся.

А если «входить в положение», жалеть их — то так и будут всё хранить, как будто это не госреестр, а тетрадка первокласника.
Ну неужели вы считаете, что там доступ к мастер-копии базы и бэкапов нет?

Может и нет.
Я только за то, чтобы «думать научились». Самого дико бесит вся вот эта вот «казённая» тупость. Серьёзно.
И, выступая против действий автора статьи, жалею вовсе не «их», не владельцев и админов – а тех, кто может пострадать в результате доступа к этой базе всяческих «младо-кулцхакеров» (как уже писал ранее).

Тут же главный предмет всех споров именно в том, что должно иметь больший приоритет в моральном плане – «публичная порка» виновных или сохранность данных обычных людей.
Первое вполне возможно без второго. И этот вариант можно было использовать.
То, что вы склонны защищать чиновников, я заметил. ^ _ ^
Пожалуйста, процитируйте хотя бы один мой комментарий в этой теме, где я «защищал чиновников». Удачных поисков… ^ _ ^
Ну если под «вышестоящими инстанциями» вы имели ввиду «Небесную канцелярию», то простите, мы вас неверно поняли). А так то позиция о том что царь вышестоящие инстанции не вкурсе, и быстро накажут виновных, просто они не вкурсе — чистое выгораживание оных. Которые таки да, чиновники.
Ну, во-первых – они действительно не в курсе (особенно в той части, которая касается технических подробностей, внезапно).
А во-вторых, как говорится в древней мудрости – неважно, какого цвета кошка, лишь бы она ловила мышей.

Если вы можете наиболее безопасно решить проблему именно с их помощью – вполне «не в западло» и к ним обратиться. И проблема решится, и хоть немножечко пожрут друг друга. Чем не вариант?

P.S. Если вы вдруг станете свидетелем преступления, вы же ведь пойдёте именно в полицию (которая такая же «инстанция» и такая же «замазанная»). Или не пойдёте?

Сильно зависит от преступления и полиции, но я долго буду думать обратиться в полицию или к общественности. Плюс ко второму варианту первый прилагается бонусом: "Поводами для возбуждения уголовного дела служат:… сообщение о совершенном или готовящемся преступлении, полученное из иных источников". Если у меня основания полагать, что среди читателей моего публичного (пумкай и анонимного) сообщения о преступлении найдётся хоть один следователь или, хотя бы, хоть один гражданин, который обратится к следователю (как "сверху", так и "снизу"), то одной публикацией убивается два зайца.

одной публикацией убивается два зайца

Только в том случае, если ваша публикация не спугнёт злоумышленников, либо не спровоцирует их на неадекватные действия – что навредит либо делу, либо людям.
Впрочем, речь шла о госорганах в целом.

А что касается публикаций – одно ведь другого не исключает. Важен лишь порядок действий. Сначала сообщить тем, кто действительно способен решить проблему – только потом рассказать о проблеме. И волки сыты, и овцы целы.
Важен лишь порядок действий. Сначала сообщить тем, кто действительно способен решить проблему – только потом рассказать о проблеме. И волки сыты, и овцы целы.

Ну вот я считаю, что в доступных мне официальных инстанциях нет никого, кто решит проблему в минимальные сроки по моему обращению. Грубо, напишу админу — он ответит "это не баг, а фича", напишу Президенту — его канцелярия ответит через 30 дней "спасибо за активную гражданскую позицию, ваше обращение передано администратору ресурса", а тот через 30 дней ответит "в ТЗ на данный ресурс отсутствуют упоминания о каких-либо ограничениях к получению данных из базы через штатную форму, обнаруженную вами недокументированную функциональность относим к расширению пользовательского опыта, а не к ошибкам разработки".

А вот вы сначала напишите, а потом уже теоретизируйте. Если всё будет именно так, как вы сказали – вот тогда имеете полное право выкладывать публично всю вашу переписку, с конкретными именами и фамилиями. Если даже это не поможет – можете даже высылать эту инфу в другие органы, более суровые.

Но в любом случае – не подставлять под удар обычных юзеров, которые в этом вообще никак не замешаны.

Я и так имею полное право выкладывать любую подобную информацию, если не давал юридически значимых обязательств её не разглашать. А в некоторых случаях имею полное юридическое право, даже если давал.


Юзеров никто не подставлял, они так уже под ударом многие годы. Их право на защиту персональных данных было нарушено с момента эксплуатации движка с уязвимостью.

Право имеете выкладывать что угодно. Но лишь до тех пор, пока это не вредит окружающим.

Как считаете, просто так запрещено выкладывать рецепты всякой наркоты и взрывчатых веществ, например? Неужто это придумали «тупые злодейские противники свободы слова»? Или, всё же, порой есть некий здравый смысл в НЕраспространении определённой информации???

Публикация подобной информации никому не вредит, даже если кто-то ею воспользовался, чтобы получить неправомерный доступ к каким-то данным, и получив данные нанес кому-то реальный вред, совершив тем самым уголовно преследуемое деяние. Нет причинно-следственной связи между действиями "пособника" и преступника. Действия "пособника" никак не влияют на факт того, что защиты не было, с одной стороны, а, с другой, что преступника от преступления останавливало только отсутствие информации. Он не знает и не должен знать о существовании таких людей, когда принимает решение о публикации.


Как бы да, кто-то типа них и придумал. Кто-то, кто не считает взрослых дееспособных людей самим разбираться с тем какая информация им или их детям нужна. Для защиты информации, сам факт разглашения которой может нанести вред, есть понятие "тайна", государственная, служебная, коммерческая, личная и т. д. тайны.


Отличие от рассматриваемых случаев в том, что тайну обязан хранить только тот, кому она была доверена под добровольное обязательство её не разглашать. Не является тайной информация или является, но вы её получили из-за чей-то неосторожности без дачи обязательства хранить — публикуйте, если хотите. Ну, конечно, если не вмешается законодатель с синдромом вахтера, запрещающий вам публиковать известные многим сведения, не являющейся чей-то тайной.

Публикация подобной информации никому не вредит, даже если кто-то ею воспользовался, чтобы получить неправомерный доступ к каким-то данным, и получив данные нанес кому-то реальный вред, совершив тем самым уголовно преследуемое деяние.

Ну давайте я сейчас случайно узнаю данные вашей кредитки, а потом выложу в открытый доступ. Кому навредит эта информация? Да никому, вроде бы… )))

P.S. Второй раз говорю – не надо «в законность», не ваше это. Тем более, что речь вообще не о законности как таковой (повторяю также второй раз, специально для вас).

Узнайте и выложите. Надеюсь, при этом вы не будете совершать противоправных действий типа взлома банковских сетей, подстрекательства к разглашению банковской тайны и т. п.


Про законность в достаточной степени моё. И обвинения в общественно-опасных деяниях очень близко к законности. Конституция РФ достаточно чётко выражает распространение какой информации может ограничиваться. Ни сведений об уязвимостях, ни о способах изготовления наркотиков, ни много чего ещё не ограничивается, только тайны. А также некоторые виды пропаганды и призывов.

Ну так если узнаю и выложу, то кого вы будете винить в первую очередь – меня или того, кто воспользовался моей информацией в нечестных целях? Ведь без моей информации не было бы и потери ваших денег. Надеюсь, уже ближе к пониманию? ))

P.S. Что касается Конституции – конкретики в ней вообще крайне мало (этим «занимаются» уже УК, КоАП и прочие «суб-издания»)). Если «законность в достаточной степени ваше» – то уж хотя бы такие простые вещи должны были бы знать… ;)

Конечно того, кто, например, оплатит с моей карты покупку в интернете. Это информация и так доступна тысячам, наверное уже, людей.


Конституция имеет высшую силу и прямое действие. Законы, противоречащие Конституции, ничтожны, как минимум, в противоречащей части. Но у меня нет другой возможности пофиксить их, кроме публичных сообщений об этом.

1) То есть, ко мне в этом случае претензий вообще почти не будет, я так понимаю? ))
Ну так предлагал – напишите все свои «адреса-явки-пароли» и прочие коды. А я опубликую. И буду ни при чём – вы же сам разрешили. ))

2) Конституция декларирует лишь общие положения. Конкретной имплементацией этих положений занимаются совершенно другие кодексы. И, полистав их, вы с удивлением обнаружите, что глубоко заблуждаетесь в ряде моментов…

От меня точно нет. А вот мои «адреса-явки-пароли» являются в целом тайной, причём часто не моей, как например реквизиты карты, принадлежащей банку. Он не реже раза в месяц напоминает мне, что мне нельзя их разглашать.


Да, но кодексы, законы и т. п. не должны противоречить ей, в частности не должны ограничивать права и свободы больше чем Конституция их ограничивает, или разрешать то, что Конституция запрещает. Если всё же это имеет место, то соответствующие положения остальной нормативной базы должны считаться ничтожными в правоприменительной практике. Увы, мы всё дальше скатываемся в совок, когда правоприменительная практика диктуется "революционной целесообразностью" при наличии достаточно прогрессивных конституций и прочих законов, в том числе произвольный, по "необходимости момента", выбор одного из нескольких противоречащих друг другу законов.

1) Не, ну так совсем нечестно! )))
То вы говорите о том, что публикация якобы вообще ничего не решает – а сейчас вот сразу в кусты, и даже якобы не по вашему желанию, а по каким-то там напоминалкам банка (которому, на самом деле, на всех плевать ещё больше чем «обрнадзору»)…

2) А вас никто ничего и не «лишает». Всего лишь делайте то, что даже в перспективе не навредит остальным – простейшее ведь правило-то…
А что до прочих «целесообразностей» – не начинайте, тут мат не приветствуется (а дико хочется). Поверьте уж, сам не знаю, то ли смеяться, то ли плакать с них…

1) Я не говорил, что публикация ничего не решает. Я говорил, что публиковать можно, что угодно, что тайной не является. тайну, которую вам доверили публиковать нельзя в общем случае


2) Кроме действий, есть и бездействие. Ну вот в данной ситуации никому не навредило бы просто ничего не делать, обнаружив уязвимость. Просто кто вредил продолжали бы вредить, ну и кто ещё обнаружил могли бы начать. Проблема "правильности" выбора в том, что нет детерминированных формул для расчёта вреда нанесенного каким-то действием или бездействием.


Вот опубликовал автор информацию. Польза есть кому-то? Наверняка. Вред есть кому-то? Наверняка. Что важнее?

1) До публикации – дыра была тайной для «посвящённых» (то есть, лишь для тех, кто обнаружил её своими силами). После публикации – перестала быть тайной вообще для кого бы то ни было.

2) А разве я говорил о том, чтобы «просто ничего не делать»??? По-моему, как раз наоборот – призывал делать. Но другими методами.
И тут рассчитывать надо не по формуле «действие против бездействия», а исключительно по формуле «одно действие против другого действия».

А на вопрос «что важнее» ответит простейшее соотношение – кому и сколько конкретно пользы и/или вреда.
Извините, что вмешиваюсь в вашу конструктивную беседу, но вы откровенно заманали словоблудить.
Давайте я срезюмирую и вы оба трое успокоитесь?

— Автор преступил ГК РФ, скачав базу (он отнекивается, так что может быть и не преступил).
— За распространение информации о «дырах» в РФ нет ответственности, если изначально распространитель не имел представления о «злых намерениях человека, купившего у него инфу об уязвимости за 10к зеленых» /s
— Автор поступил не слишком красиво с точки зрения этик-хакинга.
— Автор поступил довольно разумно с практической точки зрения, учитывая местную правоприменительную практику.
— Результат, которого добивался автор, получен: дыра закрыта, ему насовали плюсков в карму (которыми он не сможет воспользоваться ИРЛ, если не хочет засветиться).

Ваши споры «правильно-неправильно» не имеют никакого смысла: автор достиг своей цели, а данные и так все равно были скомпроментированы уже года три как, ибо дыра действительно детская.

Осторожно, маты
У моего друга с хартблида (судя по всему, домыслы пост-фактум) однажды увели чувствительные данные с сервера. «Домыслы», т.к. все остальное было, вроде бы «на высоте». Я так подозреваю, что друг мой был готов отдать ногу в тот момент, если бы инфа про хартблид просочилась в паблик на полгода раньше.

Так к чему это я? Вы оба — какие-то ёбнутые с моей точки зрения. У одного «люди пострадали из-за автора, ибо публично раскрыл дыру», которой (скорее всего) пользовались уже полдекады. У другого — «автор Робин Гуд и вообще воровать у воров — не преступление».

Вы оба и правы и неправы одновременно.


Эхх… Самое лучшее политическое самоубийство — поддержать/посрамить обе противоборствующие стороны в открытую.
Прекрасно понимаю, что «заманали оба» (в чём честно каюсь). Да меня уже и самого заманало доказывать что-то в этой теме, признаться… )

Но тут вопрос не столько конкретно об этом поступке – сколько о том, как вести себя остальным в будущем при возникновении подобных ситуаций.
Думаю, именно поэтому споры настолько затягиваются…
пока будем заминать так и будет. будем заминать — в следующий раз там будут паспортные данные… ^ _ ^
«Заминать» никто и не требует. Просят всего лишь публиковать подробную информацию после закрытия дыры, а не до. Внезапно, как раз для того, чтобы к левым людям не попали ни мои, ни ваши данные (в том числе и паспортные, да)…
После закрытия дыры равно никогда.
Ну да черт с ним. Можно срок поставить. Потом за этот срок закроют. Вы всерьез думаете что там единственная дыра? Или что она только там?
Ну опубликовал бы он на неделю позже. Одну дыру бы закрыли, остальные остались. После статьи — жулики бы слили (ну если вдруг поверить что они не слили раньше, что само по себе смешно). Но ведь зная что там была иньекция можно искать дальше, и естественно найти.
Но введем еще одно допущение. Ничего не нашли, все дыры закрыли. Закрыли их быстро. Дальше что? А собственно всё. Глупые люди вроде вас думают что это единичный случай. Была ошибка на сайте, через нее можно было слить все данные, но ошибку устранили, никто не пострадал. Все счастливы. А сейчас как минимум вы верите что раз опубликовали ДО закрытия, то кто-то мог слить. На самом деле конечно не мог а слил, и не до закрытия, а до публикации статьи, но тем не менее — даже вы считаете это проблемой. А если бы не было слива до закрытия, то прошли бы мимо. Ну ошибка, ну бывает.
А вы уверены, что остальные дыры сейчас тоже закроют? Я вот вовсе не уверен. Писалось-то всего про одну дыру.

На самом деле™ это системная проблема. И решать её можно только системно и только в рамках системы.
Но глупые люди вроде вас (возвращаю ваше определение)) думают, что можно что-то изменить такой вот тупой «партизанщиной» – ради смены одного дебила на другого такого же дебила (чуть ранее как раз писал об этом), при этом подставляя под удар миллионы обычных людей.
Ну так если вам настолько похрен на людей, что для достижения своих целей вы готовы пожертвовать их благополучием (без их ведома, что крайне важно) – тогда ради кого вообще вы это всё делаете?

Если сказать более грубо, то этот вот принцип, когда «идея выше людей» – уже дохрена чего натворил за всю историю. И никогда ещё себя не оправдывал, насколько видим…
А дыры и не закроют.
Это лично ваши влажные фантазии.
Дыры не закрывают.
И эту не закрыли, и другие не закрыли.
Ничего не изменилось и не изменится в этом плане.
Как-то так звезды сложились что со времени начала войны я с такими вещами не сталкивался (т.е. по сути сроки давности прошли в любом виде), но до войны так или иначе у меня по пару баз в год в руках оказывалось. То таможенная, то ГАИ, то база паспортов (региона или страны), базы избирателей, телефонные базы операторов, базы судов, всякая мелочь вроде обсуждаемой базы. Обеих стран. В основном из области «нашел тут, делюсь», но бывало что и покупал.
Любой кто хоть чуть-чуть знаком с ИТ и устройством наших стран знает что все что попало в руки государства — продается в любом подземном переходе.
Но обыватели вроде вас считают что государство в принципе способно защищать ваши данные. Такие статьи не могут сделать так, чтобы ваши данные были чуть более безопасны. Это невозможно. Тут без старого советского сантехника никак. А вот донести до обывателя вроде вас — можно.
Ну и еще конечно прикладной урок для «детишек», может кто-то будет меньше велосипедить.
Но обыватели вроде вас считают что государство в принципе способно защищать ваши данные.


Обыватели вроде вас считают, что своими деструктивными действиями они могут изменить что-то в государстве. Обыватели вроде вас считают, что государство – это либо тупая власть, либо просто какая-то там неприятная штука, которая висит у всех над бошками.
А вот обыватели вроде меня считают, что государство – вовсе не власть. Что это вообще вот мы все. И что первый признак реальной государственности – когда чувак из условного Магадана искренне заботится о чуваке из условного Питера. И никогда не сделает того, что повредит другим таким же чувакам.
Так понятнее???

P.S. Если вдруг опять острый приступ тупой рефлексии – я вообще не живу ни в одной из ваших стран.
P.S. Если вдруг опять острый приступ тупой рефлексии – я вообще не живу ни в одной из ваших стран.
Это, кстати, многое объясняет.

В России людей ещё не научили мыслить достаточно фрагментарно для того, чтобы они могли нормально воспринимать безумие типа «мы используем дождевую воду в наших уборных, чтобы спасти Землю!» в центре разработки Android'а.

Подумайте над этим лозунгом, а потом почитайте спойлер
Почему это безумие
Дело в том, что в мире ежедневно продаётся более 4 миллионов телефонов на базе ОС Android. Производство и телефонов, а особенно — их компонент требует огромного количества воды. Удлинение среднего срока службы смартфона на один день будет куда как полезнее, чем все программы экономии воды в офисе и использования бумаги, сделанной из макулатуры!

Но этого не происходит. Почему?

А потому что на Западе так не принято. Тут работает трёхходовка:
1. Некоторые специально обученные люди объявляют что-то проблемой (нехватку пресной воды, эксплуатацию человека человеком и т.д. и т.п.)
2. После этого другие специально обученные люди придумывают как с этими проблемами бороться
3. Наконец обыватели тупо следуют принципам и испытывают «чувство глубокого удовлетворения» от того, что, что они помогают людям

Это очень удобно, хорошо, уютно. Можно собирать дождевую воду и не думать о производстве микросхем, можно добиваться закрытия АЭС и не думать об уране, который сыплется нам на голову в выхлопах ТЭС, кушать вкусный бельгийский шоколад на заседениях всяких обществ по защите прав человека и не думать о том, что он может быть таким вкусным только за счёт того, что люди в Конго вынуждены за копейки выращивать какао-бобы и т.д. и т.п.

Но в России так не принято! Именно поэтому вас так нещадно минусуют когда вы пытаетесь ссылаться на какие-то там принципы, которые «априори выше любого закона». Ну не бывает «чтобы [гарантированно] не пострадали непричастные люди» — просто не бывает! Всегда есть шанс, что кто-то пострадает. См. историю по Васю и Петю. От любого вашего действия — в том числе бездействия.

Потому бессмысленно рассматривать какие-то там «принципы» в отрыве от конкретной ситуации. Тем более с помощью доведения «до абсурда и вообще лютого пафоса»…

Вот потому вас и минусуют. Просто вы говорите на одном с минусующими языке… но мир у вас в головах — он разный! У вас в голове — есть какие-то принципы, про которые вам кто-то когда-то сказал, что «так — делать правильно и хорошо», а у минусующих в голове — конкретный сайт с конкретными данными и конкретными (хотя и неизвестными им) чиновниками. Вот и всё.
Это, кстати, многое объясняет.

Да, очень многое. В том числе – настолько резкое неприятие других мнений, нередко чуть ли не сразу переходящее в навешивание ярлыков, а то и просто оскорбления. Особенно если речь заходит о вещах, имеющих хоть малейшее отношение к политике или госструктурам – тут степень взаимной нетерпимости достигает просто бездонных глубин, в которых тонут даже самые разумные аргументы…
Сколько уж лет на российских форумах – до сих пор не могу привыкнуть.
Ну да, ну да.
Я в гос.аппарате проработал десять лет.
Но безусловно вы лучше меня знаете как работает государство)
Ну да…
То, что вы аж десять лет (sic!!!) продержались в этом гадюшнике (иного слова не подберёшь) – показывает лишь степень вашей накопившейся озлобленности, но никак не разумного понимания…

Понимаете, в своё время меня хватило лишь на два года в госучреждении – после чего точно понял, как делать не надо и честно свалил оттуда. Чтобы уйти в частный сектор и делать (или хотя бы пытаться делать)) «как правильно». И не копить в себе это вот всё бешенство – которое стало дико угнетать уже на второй год.

Что мешало вам, при таких-то убеждениях и таком понимании – тоже свалить почти сразу? Что держало там целых десять лет???

В этом и ответ на всю нашу дилемму. Вы, судя по всему, желаете некой «мести» абстрактному «государству» (в кавычках). Я желаю некой «справедливости» конкретному государству (без кавычек). Чувствуете разницу?
Чувствуете разницу?

Ага. Чувствую.
Разница в том что вы «не вешаете ярлыков».
А так то краткая история моей работы в государстве тут есть. Вот прям в этой теме, в комментариях.
А здесь без ярлыков. Все определения – исключительно по факту высказываний только в этой теме.

Вы, кстати, на вопрос так и не ответили. Почему аж десять лет??? Я увольнялся даже из частных контор при гораздо меньших признаках маразма руководства. Что мешало вам?
А зачем мне повторяться? Из того что я тут написал — вполне понятно что увольняться мне нужды не было. В отличии от вас я организовывал работу так как нужно, а не «и так сойдет».
Ну и десять лет я округлил. Вроде было 8,5 плюс еще какое-то время не в штате. Но не суть.
Уволился ровно тогда когда стало мешать.
Не маразм, нет. С маразмом все хорошо было.
Начальство меня «слушалось».
Просто уж больно органы часто слали незаконные запросы по месту работы на государстве. В принципе ответы им шли как и от меня — «попробуйте тоже самое только в законном ракурсе», но напрягало. Всех. Так что от этого хобби пришлось отказываться.
В отличии от вас я организовывал работу так как нужно, а не «и так сойдет».

Что значит «в отличие от меня»? )))
Видите – именно вы опять вешаете ярлыки. Хотя вам было прямо сказано, что в госконторе меня не устраивала именно организация как рабочего процесса в целом, так и системы сдачи/приёмки в частности. Объяснитесь, пожалуйста…

Но не суть.

Большая суть. Даже «8,5 плюс еще какое-то время не в штате» – это уже дохрена.
Моей совести просто не хватило дальше так косячить (ненамеренно, что самое гадкое) и прогибаться под каждый тупой чих вышестоящего руководства (непосредственное руководство было вполне адекватным, но мало что решало, к сожалению). И в какое-то время просто зае… долбали постоянные угрозы «совсем сверху», из серии «либо делай так, либо увольняем», плюс жалобы непосредственному начальству на «слишком борзого сотрудника».
Вашей совести хватило на вчетверо (как минимум) больший срок такой работы, судя по всему.

Ну вот чисто психологически – у кого из нас в итоге осталось больше «немотивированной» озлобленности? У меня, который свалил вовремя? Или у вас, который был вынужден терпеть эти маразмы в несколько раз дольше?
Я решал интересную задачу в сложных условиях. Очень существенно поднял свой профессиональный уровень. И как технаря и как руководителя. Откуда бы после этого взяться «немотивированной озлобленности», да еще и спустя четыре года после увольнения?) Ну так, чисто психологически?)
плюс жалобы непосредственному начальству на «слишком борзого сотрудника».

В первое время да, не умел строить работу вышестоящим начальством. Из министерства бывало прилетали подобные замечания. Но это проходит. Обычно хватает буквально двух лет не косячить чтобы дураки в министерстве/главке успели уволиться, так что если прекратить наживать врагов, а еще и сделать что-то, что очень полезно для главка (я им немножечко софта в подарок написал), то все становится просто чудесно.
Я решал интересную задачу в сложных условиях.

Я тоже решал очень интересную задачу – в те времена достаточно новаторскую (конкретно речь шла о построении наглядных интерактивных 3D-моделей месторождений на основе полученных данных, с возможностью привычных нам ныне построения моделей по отдельным срезам/областям/рентабельности и т.д.) – самое-самое начало нулевых, напомню. Однако же, ещё в те времена – нашёл в себе силы просто плюнуть и уйти.
Тупо понял, что с этими людьми – такого не сделать. Не стал сильно базарить. Не стал «мстить». Просто ушёл.

Откуда бы после этого взяться «немотивированной озлобленности»

Оттуда, что я ушёл после двух лет. И то – кое-как терпел до последнего. После этого просто зарёкся связываться с госструктурами вообще.
А вот вы, судя по всему, нашли в себе какие-то неведомые силы работать и дальше – даже несмотря на все сопутствующие неизбежные «компромиссы» (назовём эти процессы так, мягко, с вазелином хотя бы)). Потому и вопрос был такой странный и личный…

то все становится просто чудесно.

«Чудесно» в этой сфере не будет вообще никогда. Даже с упомянутым ранее вазелином. Если только сами не приучим их сменить мышление. Но вовсе не такими методами, по которым они же первыми станут истцами в любом суде (и даже выиграют его)…
И что первый признак реальной государственности – когда чувак из условного Магадана искренне заботится о чуваке из условного Питера. И никогда не сделает того, что повредит другим таким же чувакам.
Так понятнее???

А как быть с выбором меньшего из двух зол? Сообщение о том, что права чуваков из Магаданы и Питера нарушаются по чей-то халатности или некомпетенции по официальным каналам в лучшем случае задержит решение проблемы. Ведь права чуваков начали нарушаться с момента как их занесли в эту базу или, смотря что позже, выложили под этим движком на этом сайте. Либо, не удивлюсь, если вообще не нарушаются, "это не баг, это фича". И каждый лишний день с дырой — это ещё один день нарушения этих прав.


Или вы считаете, что нет оснований полагать, что обращение "снизу" будет обрабатываться столько же сколько приказ "сверху"?

Я тут уже предостаточно написал на тему «меньшего из двух зол».
Если у вас течёт крыша и не приходят ремонтники – несомненно, это проблема. Но если вы ради привлечения внимания ремонтников решаете вообще сорвать крышу – это уже гораздо большая проблема. Даже несмотря на то, что так ремонтники действительно припрутся гораздо быстрее – но так вы окончательно навредите вообще всем соседям, даже тем, у кого раньше не текло…

Так в данном и подобных случаях я не врежу никому. И меньшим злом считаю более быстрое закрытие уязвимости, пускай и ценой того, что бОльшее число людей о ней узнает. Тут даже нет разглашения какой-то тайны, чтобы назвать человека или юрлицо, которому нанесён вред по причине публикации информации. В худшем случае публикация может быть поводом, но не причиной.

пускай и ценой того, что бОльшее число людей о ней узнает.

В вашем случае это звучит как «пускай и ценой того, что бОльшее число людей от этого пострадает».
Вы до сих пор всё ещё не понимаете, о чём речь?? До сих пор всё ещё считаете, что с моей стороны идёт отстаивание какой-то виртуальной «законности действий»? Да нет же – отстаивание самых что ни на есть реальных людей, которых вы подставляете такими действиями!
Вы до сих пор всё ещё не понимаете, о чём речь?? До сих пор всё ещё считаете, что с моей стороны идёт отстаивание какой-то виртуальной «законности действий»? Да нет же – отстаивание самых что ни на есть реальных людей, которых вы подставляете такими действиями!
Осталось только понять — как. База данных появилась не один год назад, сливалась за это время, наверняка, десятки раз и все, кому она была интересна, уже, наверняка, её купили.

Так что в лучшем случае эта публикация кому-то позволила выиграть N'ое количество рублей и вместо покупки DVD «из-под полы» кто-то слил данные напрямую.

Кто именно и как был в этом случае «подставлен»? Люди, торгующие этими базами? Ну дык их — не жалко ни разу.
Прежде всего – все эти годы база пополнялась ежегодно сотнями тысяч новых людей. Соответственно, утекла самая свежая версия базы, с людьми, которых намного больше чем «не один год назад». Поэтому рассуждения о том, что «не один год назад» – тут ни разу не логичны.

Далее… Если даже допустить ваше предположение, что за это время она «сливалась десятки раз» – то тогда не менее справедливо и моё предположение, что после массовой публикации она сливалась уже сотни-тысячи раз (вновь см. «кумулятивный эффект»).
Это даже не учитывая, что если до этого количество торгующих было просто N, то сейчас явно станет N^X, где Х – количество «обретших новое знание»…

Теперь вот и подсчитайте, кто именно и как был подставлен. И в каком случае ущерба было бы меньше – после публикации, или если бы база проработала кривой даже ещё полгода-год (даже в самом пессимистичном варианте, пока добиться всего официальными методами)…

P.S. Всяких торгашей «леваком» сюда не приплетайте, это вообще вопрос третий конкретно в данном случае. Их-то уж точно не жалко.
после массовой публикации она сливалась уже сотни-тысячи раз (вновь см. «кумулятивный эффект»).
Это за те пару дней, что она лежала под Хабраэффектом?

Это даже не учитывая, что если до этого количество торгующих было просто N, то сейчас явно станет N^X, где Х – количество «обретших новое знание»…
Маловероятно, но допустим.

Соответственно, утекла самая свежая версия базы, с людьми, которых намного больше чем «не один год назад».
Самой свежей эта база будет не так долго — до того, как заткнут дыру (если же предположить, что даже после публикации на Хабре и тиражирования на новостных сайтах никто «не почешется», то это уже такая клиника, что неважно — кто, кто и когда публикует).

Теперь вот и подсчитайте, кто именно и как был подставлен.
А кто, собственно? За исключением торговцей этой базой, у которых, внезапно, ненадолго появились ненадолго очень дешёвые конкуренты я больше пострадавших не вижу.

Вы о них беспокоитесь, что ли?

И в каком случае ущерба было бы меньше – после публикации, или если бы база проработала кривой даже ещё полгода-год (даже в самом пессимистичном варианте, пока добиться всего официальными методами)…
Насколько я вижу для данной конкретной базы ущерба больше при попытке чего-то там делать официальными способами.

P.S. Всяких торгашей «леваком» сюда не приплетайте, это вообще вопрос третий конкретно в данном случае. Их-то уж точно не жалко.
Тогда кого жалко? Я просто реально не вижу никого, кроме них, кто реально пострадал. Если кому-то эти сведения были интересны — он и раньше знал, где их купить. Если нет — то как и для чего некто может применить их и что мегало ему купить «левак»?

Вы тут очень напираете на каких-то террористов и бог знает кого, но так и не сказали: для чего они-то могут эту базу использовать? И почему вдруг бесплатное (или около того) появление базы, которую и так можно было купить вдруг на кого-то повлияет.
Это за те пару дней, что она лежала под Хабраэффектом?

Да какой уж там «пару дней»? Можете проверить хоть по датам моих постов, хоть по другим. Да если даже вдруг и «за пару дней» – нормальный такой скорее…
Маловероятно, но допустим.

Вот тут резко возражу. Как уже писал – подробное описание дыры априори привлечёт к ней на многие порядки большее количество пользователей, даже менее компетентных, чем автор поста.
Самой свежей эта база будет не так долго — до того, как заткнут дыру

Самой свежей база будет всегда. Вплоть до момента завершения её функционирования.
Насколько я вижу для данной конкретной базы ущерба больше при попытке чего-то там делать официальными способами.

ОК, тогда опишите, насколько вам представляются возможности сколь-либо массированных атак – конкретно до публикации и после. И почему.
Я просто реально не вижу никого, кроме них, кто реально пострадал.

Верно, вы больше никого не видите. А я вижу. Исключительно про этот момент и вообще все споры в данной теме (не только с моей стороны), собственно…
И, кстати, вы так и не ответили на важнейший вопрос (пожалуй, вообще краеугольный в этой теме). Что важнее лично для вас – люди или принципы?
А вы сами-то как отвечаете на этот вопрос? Судя по вашем попыткам не обсуждать конкретные проблемы конкретного сайта, описанные в конкретной статье, а обсуждать лишь какую «сферическую» этику и «доведённые до лютого пафоса» примеры люди вас волнуют куда как меньше, чем принципы.

Это про вас Сантаяна сказал: фанатизм — это удвоение усилий, когда их цель уже позабыта. Вот тут вы описали «довести пример до абсурда и вообще лютого пафоса» действия некоего персонажа. Назовём его «Вася Дурак». А теперь позвольте добавить в вашу же картину ещё пафоса и описать историю про Петю Правильного.

Добавим в картину конкретики. Пусть «важном объект» — это завод по производству спирта. На котором «тупая охрана» периодически путает ёмкости с метиловым и этиловым спиртом.

Петя Правильный, чтобы не было терактов никому про это не сообщает. И просто читает в газетах заметки «Сегодня в деревне K от отравления метиловым спиртом, оказавшемся в водке погибло 5 и ослепло 50 человек», «Снова непонятное отравление! В этот раз погибших — 15, а ослепших — всего 30»… и так далее. Но он не сдаётся! На отписки районного начальство он реагирует, оправляя жалобы «наверх», когда его «отфутболивают» оттуда — он ображается выше! За два год он добрался до президента и охрану, наконец заменили. Последняя заметка, вышедшая буквально перед этим радостным событием подбила итоги: 1217 умерших, 23179 ослепших из-за разгильдяйства охраны и происков врагов.

Так вот: что ваши принципы говорят про Вася Дурака и Петя Правильного?
Абсурдом и за уши притягиванием пахнет тут, падаван… )))

Судя по вашем попыткам не обсуждать конкретные проблемы конкретного сайта, описанные в конкретной статье, а обсуждать лишь какую «сферическую» этику и «доведённые до лютого пафоса» примеры люди вас волнуют куда как меньше, чем принципы.

Этика тут вовсе не «сферическая», а самая прямая и старинная – из двух зол выбирают меньшее.
На одной чаше весов имеем уязвимость, идущую во вред обычным людям. На другой чаше весов имеем публикацию уязвимости, идущую в ещё больший вред обычным людям.
В первом случае дырой пользовались десятки злоумышленников. Во втором случае их могут стать уже тысячи.
Зато публикация прозвучит гораздо громче и резонанснее «стандартных методов», точно обратят внимание. Но при этом пострадают больше людей, чем в результате «стандартных методов».
Быстрее? Да. Безопаснее? Нет.
Простая ведь «арифметика». Люди > Хайпа.

Петя Правильный, чтобы не было терактов никому про это не сообщает.

Как же ж «никому не сообщает», если пишет всем? ))

что ваши принципы говорят про Вася Дурака и Петя Правильного?

А что ваши принципы говорят? Пойти и взорвать завод? Или что сделать? Ваш пример – так вы и опишите же, подскажите всем, как правильно действовать в такой ситуации.
А то давать примеры без ответов – как-то не комильфо, знаете ли…

P.S. Кстати, вашего ответа на тот пост так и не последовало. Будьте же последовательны…
На одной чаше весов имеем уязвимость, идущую во вред обычным людям. На другой чаше весов имеем публикацию уязвимости, идущую в ещё больший вред обычным людям.
В первом случае дырой пользовались десятки злоумышленников. Во втором случае их могут стать уже тысячи.

Вы сами придумываете вводные и сами от них люто тащитесь.
А в реальности будет скорее чуть иначе.
Уязвимостью воспользовались тысяча человек до статьи и еще один после. При этом если бы не было статьи, то ею воспользовалось бы еще человек пять.

Да, вру, было у «одного моего знакомого» НСД относительно недавно. В середине прошлого года «один мой знакомый» слил базы всех офшоров в двух самых популярных оффшорах. Уязвимости там схожие. Подобную задачу может решить даже Милторг (проверенно).
Просто говоришь «студенту» что «хочу получить список всех юрлиц в такой-то стране», он говорит «ок, я посмотрю, отвечу через час», через час получаешь ответ «стоить будет 50 баксов, готово будет часа через два».
Аналогично если бы «одному моему знакомому» сказали что нужна база дипломов РФ, то он бы ответил тоже самое.
Еще раз. Как для «обывателя». Повторяю. база дипломов лежала в открытом доступе, вообще без защиты. Прикрытая фиговым листом. Все копировали кому надо было.
Так что в результате статьи колво взломов этого сайта стало реально МЕНЬШЕ.
Так я не придумываю вводные. Они просто есть. И они именно таковы, как бы мы оба к этому ни относились…

Как для «обывателя». Повторяю. база дипломов лежала в открытом доступе, вообще без защиты. Прикрытая фиговым листом. Все копировали кому надо было.

Как для «не-обывателя». Повторяю. Чтобы знать, где конкретно прикрыто фиговым листком – расположение этого самого фигового листка ещё надо найти. Кому-то это было просто лень, кому-то было просто не нужно, а кто-то даже и не догадывался о его существовании.
А когда дают сразу все координаты как этого самого фигового листка, так и сведения о том, как его сдёрнуть – тут уж только ленивый не полезет…

И количество взломов в итоге стало меньше, да (надеюсь). Но не считая промежутка между публикацией и оффлайном – когда количество явно увеличилось на порядки (впрочем, доподлинно об этом мы всё равно не узнаем).
Но при этом пострадают больше людей, чем в результате «стандартных методов».

Ложное утверждение. Чем больше дней работает сайт с уязвимостью, тем больше людей страдают, если считать страданием факт нарушения их права на защиту государством их персональных данных. Более того, само государство его и нарушает. Напомню, что в России человек, его права и свободы — высшая ценность, а обязанность государства их признавать, обеспечивать и защищать.

По поводу количества пострадавших в обоих вариантах – см. «кумулятивный эффект»…

P.S. «Заход» на Конституцию откровенно слабенький, простите уж. )) В Конституции нигде не указано, что ради соблюдения её положений можно ещё больше рисковать благополучием людей.

Если кто-то один незаконно скачал базу о 13 млн. человек, то пострадало 13 млн. человек. Если 100 человек незаконно скачало базу о 12 млн. человек, то пострадало 12 млн. человек.


В Конституции нигде не указано, что запрещено ради прекращения нарушения прав и свобод, рисковать временным усилением этого нарушения. Тем более в ситуации когда ни вероятность усиления, ни его мера не поддаются количественной оценке.

Сколько человек пострадает – зависит от того, кто конкретно скачал. Внезапно, правда?
И чисто статистически, как уже писал – среди 100 человек окажется гораздо больше либо реальных злоумышленников, либо просто идиотов.
И тогда эти самые 13 миллионов человек вполне неиллюзорно могут пострадать по нескольку раз каждый. Вы, надеюсь, видите различия между определениями «страдания от незащищённости» и «страдания от последствий незащищённости, которыми воспользовались злоумышленники»? Или всё ещё не видите???

С Конституцией – вы, надеюсь, уже сам поняли, что зря про неё упомянули. )))
Что может быть выше «высшей ценности»? Если даже кто-то вдруг решает её ограничить – то явно не вашим единоличным (!!!) решением, а как минимум решением коллегиально-экспертным, как максимум решением общественным.
Понятно, что в наших реалиях всё работает несколько иначе (мягко говоря)). Но если вы позволяете себе подобные самоличные решения «за всех» – то чем же тогда отличаетесь от тех, кого именно за это и критикуете???
Я вот этой вот логики никак не пойму: «Если им можно, то и мне можно». Получается, что как «им», так и вам – плевать на все принципы, а важно исключительно отстаивание собственной точки зрения, которая важнее людей.
Сколько человек пострадает – зависит от того, кто конкретно скачал. Внезапно, правда?

Неверно. Каждый пострадал от первого скачивания и всё. Что каждый страдает при каждом скачивании, даже если допустить это, не увеличивает количество пострадавших.


Вы, надеюсь, видите различия между определениями «страдания от незащищённости» и «страдания от последствий незащищённости, которыми воспользовались злоумышленники»? Или всё ещё не видите???

Минимальны. Вот какая мне разница лежат мои незащищенные данные там, или их кто-то к себе скачал? А вам? Нам обоим, наверное, особо без разницы, может данные кто-то скачать или реально качают. А ведь именно скачивание является результатом публикации и, скорее всего, оконченным составом преступления в виде несанкционированного доступа. Если же вы про использование скачанных данных ещё в каких-то (каких?) противоправных целях, но там цепочка настолько длинная получается, что вообще говорить даже о моральном пособничестве не приходится. Ну, если не говорить о моральном пособничестве бытовым убийствам человека, который рассказывает всем, что можно убить кухонным ножом.

Что каждый страдает при каждом скачивании, даже если допустить это, не увеличивает количество пострадавших.

Каждое новое скачивание увеличивает риски попадания информации в недобросовестные руки. Следовательно, потенциально увеличивает количество пострадавших.
там цепочка настолько длинная получается, что вообще говорить даже о моральном пособничестве не приходится.

Расскажу-ка я всем встречным-поперечным, что сосед дверь не запер. А если его грабанут – я-то уже точно ни при чём, «там цепочка настолько длинная получается, что вообще говорить даже о моральном пособничестве не приходится» ©. Ага… ))

Давайте разберёмся, что вы считаете вредом в подобных случаях. Для начала, считаете ли вы вредом сам факт возможности получения доступа к этим данным почти каждым? Считаете ли вредом фактическое получение данных? Или вы считаете вредом фактическое использование этих данных? Любое ли использование считаете приносящим вред? Если не любое, а если в тех же целях что и на реесурсе, но не санкционированное использование (грубо создание локального приложения с немного расширенной функциональностью, типа поиска по произвольным полям)? Если и это вредным не считаете, то какие сценарии использования считаете вредными?


Ага. Именно. И без тени улыбки. Вот представьте, идёте вы на работу, видите у соседа дверь открыта, заглянули, крикнули — ниетко не отзывается. Вышли на улицу и набираете соседа: "Вася, у тебя дверь в квартиру нараспашку". Кто-то услышал и ограбил. Вы будете считать себя виноватым?

1) Вред приносит фактически всё вышеперечисленное. Как минимум косвенный.

2) Нет, в вашем варианте получается: «Эй, смотрите все, этот лошара Вася не закрыл дверь!». Тут не просто «кто-то случайно услышал» – тут вы намеренно (это самое главное!) крикнули во всеуслышание.
Вася, конечно, действительно лошара. Но пострадает он в итоге от последствий именно ваших действий.
Разницу опять не видите?

1) Ну вот автор сделал оптимальным в его системе ценностей способом, чтобы прекратить все эти виды вреда как можно быстрее, прежде всего первый. Может, допуская, что кратковременно остальные виды вреда потенциально могут увеличить интенсивность, но зато первый будет будет ликвидирован максимально быстро.


2) Нет. Если бы это было про ресурс, имеющий мало отношения к аудиторию хабра, то может быть ваша аналогия имела смысл. А тут именно сообщение субъектам персональных данных о том, что "замок", защищающий их персональные данные, открыт. Вызывать специалистов по закрыванию замков надо или сообщать о незакрытости замка тому, кого этот замок должен охранять?

1) Вред, он как ты рыба – не бывает второй свежести. Он либо есть, либо его нет.

2) А причём тут аудитория Хабра? Мы говорим об аудитории конкретно того ресурса – которая имеет не меньше прав на защиту, чем аудитория Хабра (а то даже и больше, с учётом меньшей технической грамотности)…
Касательно же их поведения в подобной ситуации – а что они вообще могут сделать??? С учётом того, что большинство сюда даже не то что не заходит, но и вообще ни разу в жизни не слышали слово «Хабр»?

Вот и получается, что прочла как раз самая «целевая аудитория» – конкретно те, кто бывает тут регулярно и кто не понаслышке знаком с подобными дырами.
Где будет больше потенциальных взломщиков – среди условной тысячи жителей вашего района или среди условной тысячи читателй Хабра, как думаете?

1) Так вред нанесён уже самим фактом наличия уязвимости. В бинарном выражении вред был, а теперь его нет. Хорошее же дело?


2) Ну на том ресурсе автор не мог опубликовать. По крайней мере без ещё бОльшего нарушения закона. опубликовал на доступной ему площадке. И, вероятно, его расчёт оправдался — новость разнесли и по другим площадкам. Так или иначе, но уязвимость закрыли. Уж не знаю, прочитал ли кто из сотрудников на Хабре новость, прочитал кто-то в других новостях и надавил на сотрудников, или может Президенту доложили в обзоре новостей. А может вообще в бэклоге очередь до задачи "экранировать ввод" дошла.

1) Тут «бинарность» только в отношении вреда. Но в отношении доступности дыры – раньше её было мало, а стало сразу на порядки больше (пусть даже и до момента закрытия). Все, кому надо, успели всё сделать.
Несколько минут назад в другой ветке уже говорил вам о том, как «бинарно» высчитывать последствия…

2) Публиковать там не мог – факт.
Но донести эти сведения до администрации ресурса (хотя бы за пару недель до публикации, чтобы дать им реально заделать дыру) – тоже мог, тоже факт. И тогда было бы на порядки меньше этих вот всех споров (точнее, их бы вообще не было) – и дело реально хорошее сделал, и никто тебя не обвиняет…
1) Тут «бинарность» только в отношении вреда. Но в отношении доступности дыры – раньше её было мало, а стало сразу на порядки больше (пусть даже и до момента закрытия).
Ой-вей… то есть когда вам для ваших принципов надо — тогда у вас бинарность, а когда что-то в них не укладывается — так вдруг градации появились. Нет уж. Либо всё бинарно (дыра была и до публикации и после, вред был и до побликации и после), либо таки давайте везде градации.

Все, кому надо, успели всё сделать.
Ссылки на пруфы, пожалуйста. Там не так много времени было, 5 гигабайт слить далеко не так просто.
Либо всё бинарно (дыра была и до публикации и после, вред был и до побликации и после), либо таки давайте везде градации.

Да без проблем.
Пусть всё бинарно. Но в таком случае вы упустили бинарность о массовой известности дыры.
Пусть всё градуировано. Но в таком случае вы упустили все «за» и «против» именно такого подхода к закрытию дыры.

5 гигабайт слить далеко не так просто.

У меня 5 гигабайт сливаются за несколько часов, даже на достаточно тормозном ADSL. Тут-то что «далеко не так простого»?
Да без проблем.
Пусть всё бинарно. Но в таком случае вы упустили бинарность о массовой известности дыры.
Ну уж нет. Неизвестность, известность в узком кругу и массовая известность — это таки три градации. Так-то понятно, что любые полутона можно задать достаточным количеством ноликов и единичек. Или, если хотите, оставьте три градации для известности — но тогда уж разрешите мне ввести три градации для вреда: нет вреда, восполнимый вред, невосполнимый вред. Что, по вашему же собственному признанию, превращает ваши аналогии в тыкву.

Пусть всё градуировано. Но в таком случае вы упустили все «за» и «против» именно такого подхода к закрытию дыры.
Почему упустил? На одной чаше весов — у нас время, которое потребуется на закрытие дыры и усилия, которые для этого потребуются, на другой — потенциальный вред.

Практически гарантированное отсуствие долгосрочных невосполнимых вредных последствий от статьи немедленно выводит её из категории «ваннакраев» и «петь» — и делает разумным именно такой подход к решению проблемы.

Возможно не стоило писать про полный слив базы (который то ли был, то ли не было, то ли ещё как), но в остальном — в данном конкретном случае было сделано разумно.

У меня 5 гигабайт сливаются за несколько часов, даже на достаточно тормозном ADSL. Тут-то что «далеко не так простого»?
Не так просто сделать за час то, что требует нескольких. Ваш К.О.: Буквально через час после опубликования статьи сайт ограничили, а через несколько часов сайт снова восстановил работу, но уже без обнаруженной уязвимости.
1) Каждая из ваших «градаций» имеет ещё множество градаций – от минимума до максимума. Это как минимум.
Вы считаете это «восполнимым вредом». Окей. Вы делите это всего лишь на одну градацию. Окей.
То есть, с вашей точки зрения – порез пальца и перелом руки являются событиями равной степени важности. Ну а чё, оба ведь «восполнимый вред»… )))

2) Как уже писал – такой подход «разумен» лишь в качестве самой крайней меры. То есть, лишь тогда, когда уже испробованы все остальные, менее безопасные варианты.
В данном случае такого не было – сразу в режим «широкого вещания». Вот потому вы и упустили.

3) Я пытался зайти «сам позырить» спустя 6-7 часов после публикации (сразу после прочтения). Всё ещё работало. А вот уже только позже – да, сайт действительно вырубился наглухо.
Ваш К.О…
Вы считаете это «восполнимым вредом». Окей. Вы делите это всего лишь на одну градацию. Окей.
Нет, это вы предложили три градации для «известности» дыры. Раз мы меряем один параметр в задаче с точностью до одной из трёх позиций, то и другой — нужно мерить с той же точностью. Иначе перекос получается.

То есть, с вашей точки зрения – порез пальца и перелом руки являются событиями равной степени важности. Ну а чё, оба ведь «восполнимый вред»… )))
Нет, конечно. Можно ввести и 10 и 100 категорий для уровня вреда — но тогда сравнимое количество категорий потребуется ввести для «известности дыры».

Слив данных с данного сайта в любом случае ближе к порезу пальца, чем к перелому. Перелом был бы если бы эта база была единственной мастер-копией без бекапа… но, как я уже писал вот в этом случае и перелома не жалко, чтобы научить кого-то не перебегать дорогу на красный свет перед быстро движущимся транспортом…

Как уже писал – такой подход «разумен» лишь в качестве самой крайней меры.
Почему вдруг? Если потензиальный вред от разглашения невелик, а исправление проблемы относительно нескложно, то полное раскрытие — вполне разумная практика.

В данном случае такого не было – сразу в режим «широкого вещания».
Это и есть тактика «полного раскрытия» в чистом виде. Тут, конечно, было дополнительно добавлено излишнего драматизма про «данные 14 миллионов россиян в моих руках»… вот это — уже лишнее. А просто рассказ о публикации дыры — почему нет, собственно? Вот в данном, конкретном, случае? Чего вы пытаетесь добиться и чего избежать отказом от подобного простого и действенного метода?

Я пытался зайти «сам позырить» спустя 6-7 часов после публикации (сразу после прочтения) Всё ещё работало. А вот уже только позже – да, сайт действительно вырубился наглухо.
В данном случае это непринципиально, так как сайт особой скоростью не отличался ни до, ни после. Топикстартеру потребовальс 3 дня — и не думаю, что это произошло из-за того, что он делал это через 2G-модем…
Нет, это вы предложили три градации для «известности» дыры.

Хммм…
Сударь, да я-то писал всего лишь про градации известности. А вы сразу же про градации вреда. Просто перечитайте свои же предыдущие посты – вот хоть предпоследний в этой ветке. Это именно вы лихо поделили весь вред всего лишь на три градации. А я как раз и показал вам, что градаций вреда намного больше (в отличие от градаций известности)… )))

но тогда сравнимое количество категорий потребуется ввести для «известности дыры».

Увы, но прямо сравнимое «количество категорий» для опубликованной дыры мы ввести никак не можем. Просто тупо за неимением информации о том, кто конкретно прочёл и с кем конкретно поделился.

Если потензиальный вред от разглашения невелик, а исправление проблемы относительно нескложно, то полное раскрытие — вполне разумная практика.

Полное раскрытие – мера заведомо неразумная. Поскольку при этом вы предполагаете, что на данном ресурсе находятся реально вменяемые админы, которые реально прочли ваш пост. Что в действительности может быть совсем не так.
Иначе говоря, подставляя миллионы людей – вы полагаетесь лишь на волю случая и на свои собственные «догадки». Да, то самое «БЫ» – которое вообще главное тут.

Чего вы пытаетесь добиться и чего избежать отказом от подобного простого и действенного метода?

«Добиться» пытаюсь всё того же, вокруг чего вообще все мои комментарии в этой теме – сначала думать, потом делать.

В данном случае это непринципиально

Вы сам подняли этот несущественный вопрос. Я всего лишь ответил. В целом же, я привёл реальные данные даже по нашему мега-тормозному ADSL. Не думаю, что у автора в РФ где-то было хуже…
А я как раз и показал вам, что градаций вреда намного больше (в отличие от градаций известности)… )))
Градаций известности также гораздо больше трёх. Известно только спецслужбам, известно разработчикам, есть скрипт, который можно скачать и запустить, включено в «коробочный» руткит и т.д. и т.п.

Увы, но прямо сравнимое «количество категорий» для опубликованной дыры мы ввести никак не можем. Просто тупо за неимением информации о том, кто конкретно прочёл и с кем конкретно поделился.
Вы путаете — это о том, что мы можем узнать точно. Но кроме точных данных — бывают ещё и оценки.

Полное раскрытие – мера заведомо неразумная.
У очень большого количества специалистов по безопасности мнение строго противоположное. Например небезивестный Шнайер так считает.

Поскольку при этом вы предполагаете, что на данном ресурсе находятся реально вменяемые админы, которые реально прочли ваш пост.
А если там админы, которые новостей не читают — то что им вообще может помочь? Гильотина?

«Добиться» пытаюсь всё того же, вокруг чего вообще все мои комментарии в этой теме – сначала думать, потом делать.
Не заметил пока. Есть тупое насаждение принципа «не повреди», который далеко не абсолютен ни в медицине, ни в IT.

Потому что каждое наше действие имеет последствия — в том числе бездействие. Потому «не повреди» — это фикция, химера, так не бывает.

В целом же, я привёл реальные данные даже по нашему мега-тормозному ADSL. Не думаю, что у автора в РФ где-то было хуже…
И, тем не менее, скачивание полной базы заняло гораздо больше времени, чем закрытие уязвимости…
Действительно важных градаций крайне мало, на самом-то деле. И они делятся лишь на две категории: там, где общественная польза превышает частную, и там, где наоборот.

Всё остальное – увы, лишь пустое словоблудие.

P.S. Это просто чтобы сразу «в целом», не дробя на несущественные «подпункты» спора…

Не смог удержаться. В России, согласно Конституции, по умолчанию нужно выбирать тот сценарий, где частная польза превышает общественную. Это в СССР декларировался примат общественных интересов над частными.

Те, кто готовы пожертвовать насущной свободой ради малой толики временной безопасности, не достойны ни свободы, ни безопасности.

Вопрос не имеет смысла. Вопрос в том что важнее — незначительные сложности сейчас или огромные проблемы в будущем, и что считать чем).
Вы говорите что ой-ой, какой дядя доктор плохой, делает своей иголкой больно каждому ребенку. Ату его, ату… ну бывает, чё.
Давайте жалеть детей, не делать им прививки.
Мы же за людей а не за принципы правда?)
Вопрос в том что важнее — незначительные сложности сейчас или огромные проблемы в будущем, и что считать чем).

Согласен, тут весь спор вообще именно о том, «что считать чем» и что считать «незначительным».

Давайте жалеть детей, не делать им прививки.

«Прививкой» в данном случае было бы – добиться приостановки работы сайта до исправления уязвимостей. Добиться официальными методами. Это вызвало бы ненамного меньшую волну возмущений и неудобств – но повлекло бы гораздо меньшие риски.
А в данном случае получилось «лечение насморка отрубанием головы»…
… и выращиванием новой без соплей. Если организм на такое способен, то это не самый плохой способ, особенно в такие короткие сроки.
Ну, если уж играть в изящную словесность, то можно было и старую не рубить, а всего-то сопли подтереть да лекарством брызнуть. Чем не вариант?
Для хроника не вариант.
Для хроников есть спреи. Как минимум. Кажется, это как-то несколько гуманнее отрубания всего и вся. Да и просто разумнее… ))

P.S. Простите, но у вас сейчас сугубо большевистская логика. Эти в своё время тоже не угомонились, пока всё не раздолбали в пух и прах «до основанья, а затем», чтоб потом «строить новый мир». Не особо помогло, помните же.
Кажется, это как-то несколько гуманнее отрубания всего и вся.
Нет. Если организм может выращивать голову, то лучше отрубить и вырастить новую.

Это, кстати, хорошая аналогия, гораздо лучше ваших «Петь». Животные, способные выращивать голову, находят мало использования в хозяйстве, а вот с растениями — такое сплошь и рядом происходит.

И вот как раз там — зачастую проще удалить и сжеть 90% от куста, а потом разрастить его по новой, чем поливать спреями. И растение будет меньше болеть, и результат будет лучше.

P.S. Простите, но у вас сейчас сугубо большевистская логика. Эти в своё время тоже не угомонились, пока всё не раздолбали в пух и прах «до основанья, а затем», чтоб потом «строить новый мир». Не особо помогло, помните же.
Почему не помогло? Помогло. В-первой мировой Россия, я извиняюсь, слила, во-второй — выиграла. Уж какой ценой — это другой вопрос, но результат был явно лучше.

А вот как раз когда через какое-то время после этого успокоились и начали проявлять мягкотелость — всё развалилось как и у Николая 2…
1) Я тут уже писал о ротации дебилов. Вот и всё, чего добились – максимум одного дебила сменят другим.
Тут не растения рубить надо, а саму почву удобрять и перепахивать, чтобы следом не выросла такая же дрянь.
И вот как раз в этом лучше всего помогают именно варианты «официального заё… задалбливания». Пока не поймут, что по ту сторону кабинетного окна не просто какие-то безответные овцы, а живые люди – ничего не изменится, проведи вы ещё хоть сто таких «разоблачений»…

2) Ну, вопросы цены вас вообще мало волнуют, это уже давно понятно…
В целом же, всё можно было решить окончательно ещё после первой. Или даже до неё. Если бы сначала одни идиоты позорно не ввязались, а потом вторые идиоты не менее позорно не вышли бы. Тогда, вполне возможно, не было бы и второй.
Но это уже лишь в сослагательном наклонении, конечно. И сугубо ИМХО.

В любом случае, в этом сравнении речь шла о внутренней политике – «сначала разрушим всё, а там уж потом чё-нибудь придумаем»…
9:50 MSK. Волна в СМИ уже пошла. Кажется кое-кому пора начинать нервничать.
Какая была прекрасная возможность закончить несколько вузов за один день.
Можно эпичнее — тихо оставить без образования пару-тройку недругов…
Ну вы как не злодей — пару-тройку миллионов недругов.
И давить ошибки разработчикам сайта наверное религия мешала :)
Ну что сказать… Классика жанра. Всё как по учебнику :)
Два слова «демпинг услуг» определяют всё.
Надеюсь, эта история закрыта, так как баг на оригинальном сайте пофиксили.

Какая наивность( Автор еще не понимает, что это УК РФ и это не так работает «Приношу извинения администрации сайта». Эмоции сыграли с технарем злую шутку — сколько на этом погорело хакеров, причем не совсем простых.
У него был ТОР/ВПН, так что еще нужно явно где-то лажануться по крупному, чтобы нашли.
В целом ТС наследил конечно, так что мог и наследить так что найдут, но… сомневаюсь.
Причем больше сомневаюсь в тех кто будет искать. Так что то что наследил видно невооруженным глазом.
А по крупному и не надо, достаточно лажануться где-то в одном месте и вся цепочка рассыпется.
Автор прикалывается над скрипт-кидди, но он еще не понимает, что это — и есть он.
Предусмотрел ли Автор все исходы — конечно нет. Все сделано «по учебнику», а надо было только опираясь на свой опыт и знания, а это тысячи «учебников», красные глаза и мозоли на пальцах — и все равно без гарантии фейла. Тем более когда ломаешь гос.органы и еще внутри страны.

Вспоминается неуловимый хакер, который на эмоциях запостил фотку с посылом «хрен вы меня найдете». У него был ТОР/ВПН. А у фото был геотег. Факин человеческий фактор.
Неее оно понятно. Сам знаю множество подобных случаев.
Я о другом. ошибаются обе стороны. И атакующий и ищущий.
Я уверен что топикстартер наследил достаточно чтобы его в принципе можно было найти, но я сомневаюсь что те кто будут искать (если будут) — смогут найти.
У наступающих (правохоронителей) численное преимущество (ксивы, массовые запросы куда угодно), у обороняющегося (тс) преимущество в том что он обороняется (прячется), а уровень мастерства у них соизмеримый.
Тут уже упоминали про то что можно провести анализ стилистики комментариев ТС и его текста с базой пользователей хабра. Если бы искали Сатоши, то тут бы уже было десятки расследований на хабре опубликовано. Навскидку можно предложить пару метрик: длина фраз в словах, длина фраз в символах. Среднее, дисперсия оных. ТопN стопслов и их частотности. Словарный запас. Использование знаков препинания, смайлов, тегов, стиль цитирования (использует ли тег цитаты или извращается руками). Массивы умножаем, числа сравниваем. В целом почти готовый план поиска клонов.
Вы ведь понимаете что «там» не смогут его реализовать? Банально захлебнуться в данных. Не смогут правильно верифицировать результаты (контрольные группы и т.п.) и если и реализуют то будет как сайт дыряво.
При этом в государстве конечно есть ресурс чтобы провести подобные экспертизы.
Долго, дорого. Но возможно.
Но никто не станет из пушки по воробьям.
А такие же воробьи — не сделают ничего.

Тоже самое и сдругими его ошибками. Недостаточно чтобы враг совершил ошибку. Нужно ее заметить и уметь использовать.
Из того, что сразу бросается в глаза:

1. последовательное использование ё
2. Ошибка «для получение»
3. Ошибка «так же»
4. Ошибка «слажено» (возможно, и в других деепричастиях)
5. Использование вводного «а именно»

Я думаю, при наличии доступа к базе и достаточном количестве комментариев на основном аккаунте этого уже достаточно для триангуляции. ТС уже сейчас нужно искать адвоката и продумывать стратегию защиты, либо исчезать куда-то, хотя бы временно. К этому нужно относиться серьёзно.
«Не смогут правильно верифицировать результаты (контрольные группы и т.п.) „
А зачем верифицировать? Главное — знать, где искать. Логи у провайдера, опрос знакомых, допрос подозреваемого, порыться на компьютере — и можно найти множество прямых и косвенных улик. А дальше сработает наша непогрешимая Фемида.
Необходимость правильной верификации не в обвинении, а в калибровке эвристик. Понятно что когда останется дюжина подозреваемых их можно спокойно профильртровать (последний курс и т.п.), и оставшихся троих уже на допросе/обыске проверить. Но вот чтобы дойти до этого — нужна серьезная работа.
Один мой знакомы «белая шапочка» (который кстати таки прокололся на мелочевке, лет десять назад, но его отмазали админы одного из сервисов/провайдеров у которого запрашивали логи) вообще на этот случай гонял свои сообщения в гул-переводчике по близким языкам (рус-укр-бел-рус), после чего чуть-чуть подправлял читабельность, оставляя некоторые ошибки, но так чтобы не было явно видно что текст корявый.
На таком умнике ваши эвристики не дали бы верный результат, зато другие вполне могли бы. Далее — у разных эвристик разный вес. Что-то встречается чаще, что-то реже.
Что-то если встречается у человека, то уже наверняка повторяется, а что-то от настроения и времени года… Всего не предусмотришь. А значит нужно уже готовую модель как-то оценивать, и улучшать. Здесь нужна вполне приличная теоретическая подготовка. Ну не то чтобы космос, но как минимум собственноручно написанный диплом (не по мотивам, не передранный или купленный) у человека должен быть, плюс опыт хоть каких-то боевых датамайнингов.
Я знаком с тем как работают органы. и с экспертами водку пить приходилось, и с прокурорами/следаками, и на допросы попадал, и маски-шоу от СБУ-шной Альфы переживал, и с российскими органами пересекался в разной обстановке. В общем не верю я что инцидент такого уровня (незначительного) смогут разбирать действительно профессионально. Если лоханется совсем-совсем на человеческом факторе, то да, а так… Это же не политические комиксы репостить. Тут самых сильных специалистов в ход пускать не станут.
Хорошая заметочка. Почитал с удовольствием. Много откликов народ прислал. И скажу откровенно, что автор, если он действительно вскрыл проблему этого сайта, проявил просто доброту. Просто «Максимус милосердный»! И судя по тому, что ему не заплатили, владельцы сайта оказались банальными скрягами. Хотя бы на сотовый взяли бы и подкинули деньжат. Лично я бы направил большой палец вниз. И вот почему. Нами управляют серые троечники. Так вот троечники, как правило, имеют ужасную хватку. Деньги зарабатывают они. За сайт отвалили некую сумму. И далеко не факт, что конкурс был честным. Но работа была выполнена не полностью, не в комплексе. Во всяком случае проблемы безопасности решены не были. Вот и получается, что там асфальт бросили в снег, и поэтому дороги нет; там дети в школе отравились, потому что повар руки не моет; там самолёт упал, потому что поставили деталь б/у; там какого-то психа не посадили в дурдом, и он пришёл на работу с арсеналом оружия мстить. И т.д.
Может я конечно и жестковато рассуждаю. Только как этих троечников заставить работать?
упс. промахнулся. это ответ уважаемому юзеру Mendel
не там он искал уязвимости… ну найди ты уязвимость у гугла или фейсбук — деньгами осыпют и может работу хорошую предложат.
а тут — нашел себе гемморой в виде системы, которая будет охотится на того, кто посмел нарушить видимость стабильности и добротности. Системе нужно не качество, а видимость качества, вернее вера паствы в качество. Нет более тяжкого преступления, чем попытка подорвать или даже возмутить эту священную веру.
Я не удивлюсь, если у них существуют проблемы с резервным копированием.
И как узнать, какие из записей являются законными, и какие из них были созданы или изменены за несколько лет.
В данном случае резервное копирование не поможет, ибо нет гарантии что кто-то другой не нашёл эту дыру раньше (и внёс изменения потихоньку). То есть доверять нельзя всей базе, с момента начала публичного доступа к сайту. Полюбому, придётся создавать заново из исходных данных…
Полностью согласен. О чём написал. Только виде вопроса.
То есть доверять нельзя всей базе, с момента начала публичного доступа к сайту.

Думаю, что это не совсем так...


  1. оно совсем не обязательно "мастер" (с чего вы взяли что эта база не зеркало какое-то)...
  2. даже если это живая база, может параллельно есть/ведётся другой какой дамп с исходными данными/журналами и т.п.;
  3. если есть "правильные" логи/исходные данные… и/или transaction log не резался (т. е. full), то в теории можно даже машинным способом отличить "нормального" пользователя от липового, и соответственно изменения либо вернуть, ну или на худой конец пометить для дальнейшей проверки.

Вспоминается один интересный контракт на "ремонт" DB, которая была в ужасном состоянии после одной очень "неудачной" миграции со сливом двух разных систем в эту одну базу. Так вот то, что она неудачная (бажная местами, от слова совсем) было замечено по прошествии полугода активной работы с базой, т.е. с миллионы insert/update/delete, всё с множественными relation/foreign keys и иже с ними.
Но т.к. там с transaction log все в порядке было, ошибки проблемной миграции удалось идентифицировать и поправить без полного пересоздания базы и "мартышкиного" труда по ручному повторению полугодовой работы.
Если что там более 50-ти таблиц было (и из них более половины affected).


Но конечно, если с логами тоже беда (или если оно вставлялось/апдейтилось кучей разных способов без головы АПИ и т.д.), то тогда да — туши свет.


Кстати вы подумайте — какой потенциал для соответствующих органов: например diff после восстановления покажет все липовые записи, ну и далее по порядку…
Я бы теперь на месте человека с купленным паспортом (который был вдруг занесен в базу) теперь очень и очень напрягся. И как минимум начал бы вспоминать кто его продал/внес в базу...

Этого никто делать не будет. Т.к. если вскроется такое, то кого-то надо наказать, а чужих там нет.
Ага, и минэкономразвития не сидит, ага
Да, возможно и такое — как Вы описали.

В моей практике часто видел, что логи, которые надо хранить — на самом деле хранят месяц или три. База данных, которая изначально классифицировалась как зеркало, стала мастером для каких-то исходных данных. И то, что было вначале — one way replication стало bidirectional replication… И так далее. В зависимости от уровня раздолбайства организованности. Если за эти годы происходила миграция с одной версии базы данных на другую, то вообще любые чудеса возможны.

Так что я согласен в Вами. И о размере бедствия мы может только гадать.

В любом случае — проверять и восстанавливать — это возня. А если дыра была открыта несколько лет — то работы много. И неочевидно, что можно аккуратно всё это проверить (в разумные сроки и за ограниченные деньги).

Често говоря, я вообще не очень понимаю — а зачем такая база нужна (на государственном уровне) — с дипломами. Но размышления на эту тему, боюсь, уведут нас далеко…
Често говоря, я вообще не очень понимаю — а зачем такая база нужна (на государственном уровне) — с дипломами.
Ну вот хотите вы получить голубую карту. А там — оп-па: нужно подтвердить наличие профильного высшего образования.

И как вы собрались это делать без подобной базы данных? Экспертизу проводить? Где? В России или во Франции где-нибудь? И как? И сполько это будет стоить?

База как раз нужна — но только не такая, куда что угодно и что угодно может «через дырку в заборе» написать…
И как вы собрались это делать без подобной базы данных? Экспертизу проводить? Где? В России или во Франции где-нибудь? И как? И сполько это будет стоить?

Про Францию с ходу не найду, но в Великобритании есть вот такой путь.
www.naric.org.uk/naric
Про цены и про процесс там вроде тоже есть.

Но вопрос даже не в этом. Не очень понятно почему желание (и возможность) индивида получить голубую карту в Европе должно зависеть от наличия (или отсутствия) в России какой-то центральной базы. И как люди обходились без этого раньше. Или почему налогоплательщики в России должны спонсировать чьё-то желание подтверждать наличие образования.

То есть, Ваш пример мне кажется не очень удачным. Что не означает, что не существует более удачных примеров. Просто я пока этот момент не очень понимаю.
Про Францию с ходу не найду, но в Великобритании есть вот такой путь.
www.naric.org.uk/naric
Про цены и про процесс там вроде тоже есть.
Процесс, на самом деле, сводится к тому, что в посольствах естьесть базы, связывающая обсуждаемую в заметке базу в России с подобными же базами в Великобритании, Франции, Германии…

И как люди обходились без этого раньше.
Плохо обходились. Проверка документов занимала не несколько дней, а несколько месяцев. Посылался запрос в ВУЗ, потом оттуда приходили бумаги, дальше их изучали эксперты и т.д. и т.п.

Или почему налогоплательщики в России должны спонсировать чьё-то желание подтверждать наличие образования.
Ну, например, чтобы не требовалось тратить деньги налогоплательщиков в России на запросы подобных же документов из Английских или Немецких ВУЗов. И не тратить деньги на рассылку и обработку заказных писем при приёме кого-либо на госслужбу.

Это всё — изменение и упрощение процедуры, которая, как бы, существует уже не первое столетие…

То есть, Ваш пример мне кажется не очень удачным.
Мой пример был призван показать, что эта база влияет не только на то, что происходит в России, только и всего.

В России, в принципе, можно было бы отменить тредования к образованию кандидатов на должности и просто ставить на место министров людей с четырьмя классами образования — но так как Россией дело не ограничивается, а есть ещё и международные договора, то… ситуация несколько сложнее, чем кажется на первый взгляд.
Процесс, на самом деле, сводится к тому, что в посольствах естьесть базы, связывающая обсуждаемую в заметке базу в России с подобными же базами в Великобритании, Франции, Германии…

Может быть это и так. Но поскольку я с этим никогда не сталкивался, то могу только предполагать. И думается мне, что в посольстве ничего такого нет.

Плохо обходились. Проверка документов занимала не несколько дней, а несколько месяцев. Посылался запрос в ВУЗ, потом оттуда приходили бумаги, дальше их изучали эксперты и т.д. и т.п.

С моей личной точки зрения — ничего плохого я в этом процессе не вижу.

Ну, например, чтобы не требовалось тратить деньги налогоплательщиков в России на запросы подобных же документов из Английских или Немецких ВУЗов. И не тратить деньги на рассылку и обработку заказных писем при приёме кого-либо на госслужбу.

В зависимости от контракта, вопрос подтверждения диплома (включая финансовые затраты) — проблема либо кандидата на должность, либо работодателя. Налогоплательщики вообще не должны в этом участвовать.

То есть, допустим я закончил Оксфорд, и хочу устроится в компанию «Рога и Копыта» (или в РоскомНадзор). Если работодателя не устраивает мой диплом в том виде в каком он у меня есть, то мои проблемы. А не проблемы налогоплательщиков.

Мы можем договориться с работодателем, что если им уж так важен диплом, то они будут проверять его сами. Как хотят. Если при проверке вылезет какой-нибудь косяк, то меня могут выгнать. К примеру.

Или работодатель скажет, что ему наплавать какое формальное образование у меня есть (в стиле: «не важно какого цвета кошка, главное чтобы она ловила мышей»).

Возвращаясь к этой базе данных. И вот мне кажется, что для того чтобы создавать поддерживать такие системы на деньги налогоплательщиков, нужны какие-то более существенные причины. То есть мне пока представляется, что потратили (и тратят) кучу денег там, где оптимизация не очень важна. Не уверен, что приоритеты в финансировании проектов расставлены правильно. Мой вывод — на практике получилось «как всегда».
И думается мне, что в посольстве ничего такого нет.
Вот это вот что такое, по вашему?

В зависимости от контракта, вопрос подтверждения диплома (включая финансовые затраты) — проблема либо кандидата на должность, либо работодателя.
Совершенно верно.

Налогоплательщики вообще не должны в этом участвовать.
А это, я извиняюсь, как? Работодатель, для которого подтверждения наиболее важны — это государство. Какими, я извиняюсь, деньгами оно должно всё опличивать? Других денег, кроме денег налогоплательщиков, у него нету.

Мы можем договориться с работодателем, что если им уж так важен диплом, то они будут проверять его сами. Как хотят. Если при проверке вылезет какой-нибудь косяк, то меня могут выгнать. К примеру.
Как уже говорилось работодатель для которого это наиболее важно — это государство. Да, оно может привлекать экспертов и проиводить экспертизу. Получая жалобы на то, что всё это дорого. А могут — завести реестр. И тем самым получить экономия на заказных письмах и работе экспертов.

То есть мне пока представляется, что потратили (и тратят) кучу денег там, где оптимизация не очень важна.
Вы сами-то имеете на руках экономические рассчёты или это просто так — пустая болтовня? Проблема «купленных» дипломов не вчера появилась и ущерб от них — весьма немало.

Создание централизованной базы — один из эффективных способов борьбы с этой проблемой.
>> И думается мне, что в посольстве ничего такого нет.
Вот это вот что такое, по вашему?

Мой немецкий не настолько хорош, чтобы быстро просмотреть весь сайт. Но с ходу я не увидел — как это связано с обязательствами (или зависимостями от) посольств — как Германии, так и России.

В целом, я лично считаю, что создание и ведение реестра с такой мотивировкой — не очень удачное дело.

Вы сами-то имеете на руках экономические рассчёты или это просто так — пустая болтовня? Проблема «купленных» дипломов не вчера появилась и ущерб от них — весьма немало.

Конечно, никаких экономических расчётов у меня нет. И не будет. Это не моя специальность, не профессиональная область. И всё, что я пищу — лично моё мнение которое может ни не чём не базироваться. Я, собственно и не претендую ни на что.

Может быть у Вас есть? Поделитесь? Если экономические расчёты существуют, то неплохо было бы увидеть примерно следующее:

Вариант первый — ничего не делаем. Тогда наши потери (или доходы, или ещё что-то, что можно измерить) за год такие-то. Через год такие. Через пять, через десять…

Вариант второй — делаем что-то (к примеру реестр). Это будет стоить — CAPEX, REVEX, OPEX — год, два, пять десять. Ожидаемые результаты — год, два, пять, десять. Риски, погрешности, попутный ущерб, новые возможности.

Вариант третий — делаем что-то ещё. И про этот случай пишем так же как и про предыдущий.

И так далее…

Плюс особые мнения экспертов и создателей расчётов.

Лично мне было бы интересно почитать выжимку из таких расчётов. Посмотреть — кто и как принимает решения. И почему.

Создание централизованной базы — один из эффективных способов борьбы с этой проблемой.

Один из эффективных способов. Согласен. Может быть получше есть?

Возвращаясь к вопросу «зачем» — там ниже есть цитата с сайта. С целями. Они немного по другому выглядят. И никак не связаны с подтверждением образования для уезжающих на работу в Европу.
В России, в принципе, можно было бы отменить тредования к образованию кандидатов на должности и просто ставить на место министров людей с четырьмя классами образования — но так как Россией дело не ограничивается, а есть ещё и международные договора, то… ситуация несколько сложнее, чем кажется на первый взгляд.

В Италии, третья экономика Евросоюза, одна из стран G7, министр образования(!) солгала что у нее есть высшее образование.
Вы думаете её сняли с должности?
Ей хоть слово сказали?
Ах, да, это же не рашка, это священный Запад так что ЯВСЁВРУ
Подождите, подождите. Мне кажется, в Вашей реплике всё смешалось:

  • Требование иметь диплом, чтобы занимать должность (министра)
  • Требование проверять диплом
  • Чьё-то враньё и его последствия.

К тому-же всё это в какой-то Италии. Пускай они там сами со своими министрами разбираются.
К тому-же всё это в какой-то Италии. Пускай они там сами со своими министрами разбираются.
К сожалению разбираться приходится в России тоже. Специальности меняются, деление на «классы» тоже меняются (почти весь прошлый век в России отсутствовали бакалавры и магистры, к примеру). Единый реестр (грамотно сделанный, конечно) — не такая плохая идея.
К тому-же всё это в какой-то Италии. Пускай они там сами со своими министрами разбираются.

Да просто у меня бомбит что эта неуч на мои налоги разваливает у меня на глазах систему образования. Ещё и внаглую соврала что закончила ВУЗ, министр образования без образования это 5.

Ах, да, это же не рашка, это священный Запад
Причём тут это? Тот факт, что проблема «купленных дипломов» имеется и на Западе — далеко не секрет. Но это не означает, что эта проблема вдруг перестала быть актуальной для России.

В Италии, третья экономика Евросоюза, одна из стран G7, министр образования(!) солгала что у нее есть высшее образование.
Серьёзно? Она купила диплом? Или как?

Насколько я знаю Валерия Федели находится в той же ситуации, что миллионы россиян, окончивших ВУЗ до 2003 года. И не имеющих диплома о получении степени бакалавра или магистра. Просто потому что до 1996 года подобных степеней в России не было.

Вы думаете её сняли с должности?
А за что, собственно?

так что ЯВСЁВРУ
Вы таки врёте — но не потому, что на Западе всё прекрасно, а в России всё ужасно, а потому что не разобрались по существу. В России так же есть миллионы людей, у которых статус в обсуждаемой в статье базе и в бумагах, имеющихся у них на руках — отличается. И по той же причине: потому что Болонский процесс начался на рубеже веков, а огромное количество людей, представьте себе, получили высшее образование ещё в прошлом веке…

Эту проблему, в частности, и решает обсуждаемая тут база.
Серьёзно? Она купила диплом? Или как?

Нет, просто у неё в резюме была строчка Образование: ВУЗ
А она закончила среднюю школу, ВУЗом и не пахло.
Когда спросили чо за нах она ответила что «прошла школу жизни» и удалила ту строчку.
А за что, собственно?

Эм, подделка резюме и несоответствие занимаемой должности (министр образования без образования)?
В России так же есть миллионы людей, у которых статус в обсуждаемой в статье базе и в бумагах, имеющихся у них на руках — отличается. Эту проблему, в частности, и решает обсуждаемая тут база.

Да я только за, моя претензия была к
просто ставить на место министров людей с четырьмя классами образования — но так как Россией дело не ограничивается
Почитал. Типа, кто влезет — того на работу пригласим. Диплом проверять не будем. Годится, Мне понравилось.

Только это версия — зачем дырка, а не зачем реестр. То есть парадигма такая — реестр нужен. И теперь мы будем его защищать. А если представить, что он не нужен вообще?
Често говоря, я вообще не очень понимаю — а зачем такая база нужна (на государственном уровне)

Ну навскидку: предоставить работадателю (кадровику) возможность проверки подлинности диплома или других документов об ученой степени/звании соискателя;


А вообще описание целей есть тут — Формирование и ведение Федерального реестра сведений о документах об образовании и (или) о квалификации, документах об обучении | Рособрнадзор...


Целями создания Федерального реестра являются:
  • Ликвидация оборота поддельных документов государственного образца об образовании
  • Обеспечение ведомств и работодателей достоверной информацией о квалификации претендентов на трудоустройство
  • Сокращение числа нарушений и коррупции в образовательных учреждениях
  • Повышение качества образования за счет обеспечения общественности достоверной информацией о выпускниках

Ликвидация оборота поддельных документов государственного образца об образовании

Когда я это читаю, то мне хочется понять — а откуда этот оборот поддельных документов (дипломов) взялся? Кому эти дипломы нужны (не важно — настоящие, поддельные)? Зачем? Кушать их нельзя, курить тоже наверное…

И есть у меня подозрение, что при найме на работу (в государственную структуру, так как частные сами разберутся, если им не мешать) одно из требований — наличие этого самого диплома.

То есть, если требование убрать, то и спрос на эти дипломы должен уменьшится. Значит оборот поддельных документов тоже уменьшится.

Хорошо, а как тогда решить — годится кандидат на должность или нет? К этому вопросу вернёмся.

Обеспечение ведомств и работодателей достоверной информацией о квалификации претендентов на трудоустройство

То есть диплом — критерий квалификации. Всегда? Или первые годы после получения диплома? Или может вообще корреляция не очень велика. Не говоря уже о причинно-следственной связи.

Всё это как-то странно выглядит. С одной стороны боремся с поддельными дипломами, а с другой сами и создаём для этого предпосылки (и рынок).

Сокращение числа нарушений и коррупции в образовательных учреждениях

А это тут причём? Чтобы сократить коррупцию — нужно сделать так, чтобы за диплом не платили. То есть диплом не требовался. Не нужен диплом — не нужно за него платить — нет коррупции.

Повышение качества образования за счет обеспечения общественности достоверной информацией о выпускниках

Тут два момента. (1) доступ общественности к информации о выпускниках — значит информация должна быть доступна общественности. Не нужно ничего взламывать. Всё должно быть доступно и так… (2) повышение качества образования. Причём предполагается, что если сделать общественный доступ информации о выпускниках, то качество образования повысится.

Как-то я плохо понимаю такую логику. Может у меня появились проблемы с семантикой русского языка. Или с возрастом соображать стал хуже (что, на мой взгляд, не далеко от истины). Лично мне представляется — в лучшем случае качество образования никак не изменится, а скорее всего — ухудшится.

Ладно, возвращаемся к вопросу о том, что если диплом не обязательное требование для должности, то как понять — годится кандидат или нет.

Вариантов масса. И я могу только указать первые пришедшие мне в голову. Рекомендации людей. Проверка истории работы. Проверка кто и когда платил пенсионные взносы и налоги (не сколько платил — а кто и когда). Интернет тоже никто не отменял. Профессиональные сообщества — типа критерий не диплом, а членство в каком-то обществе. Это вообще может оказаться способом делегировать многие квалификационные проверки. Вообще делегировать, а не рулить самому — многообещающий вариант для государства — с одной стороны что-то там на самообеспечении, а с другой — если есть косяки, то не государственные. Ещё можно страховать риски. Испытательный срок. И так далее…

В общем тема эта богатая. И вместо того чтобы играть в игры типа «пчёлы против мёда», можно действительно много чего интересного придумать.
Когда я это читаю, то мне хочется понять — а откуда этот оборот поддельных документов (дипломов) взялся? Кому эти дипломы нужны (не важно — настоящие, поддельные)? Зачем? Кушать их нельзя, курить тоже наверное…
А паспорт вам зачем нужен? И деньги? Кушать их нельзя, курить тоже наверное...

Вообще делегировать, а не рулить самому — многообещающий вариант для государства — с одной стороны что-то там на самообеспечении, а с другой — если есть косяки, то не государственные.
Останется только один вопрос: как выяснить, что организация, которой мы что-то там делегировали действительно существует и действительно имеет своим членом Васю Пупкина.

То есть вместо проверки подлинности диплома вам потребуется проверка подлинности другой бумаги — больше ровным счётом ничего не изменится.

А что делать с теми, кто обладает необходимыми навыками, но не хочет платить членские взносы? У меня есть ощущение, что попытавшись вашу систему развить вы с неизбежностью воспооизведёте очень многие черты уже существующей системы.

В которой-таки диплом — это и есть средство делегирования. По сути-то что такое диплом? Сертификат о том, что вы обладаете навыками работы по какой-либо специальности, не больше, не меньше.

Как любой сертификат его стараются подделать — ну так это неизбежность, я не понимаю как в ваших схемах с рекомендациями и членскими книжками вы собрались этого избегать.

А уж пенсионные отчисление и рекомендации — это и вообще курам на смех: как они помогут отличить человека, нигде не работавшего, но обладающими необходимыми навыками от человека, который ими не обладает? А ведь все люди раз в жизни в этой ситуации находятся!

И вместо того чтобы играть в игры типа «пчёлы против мёда», можно действительно много чего интересного придумать.
Чтобы вы там ни придумали у вас, при достаточно большом количестве народу, появится необходимость проверять что «сертификаты», «таблички», «удостоверения члена» или информация о том, что человек чего-то кому-то отчислял — не поддельные.
По сути-то что такое диплом? Сертификат о том, что вы обладаете навыками работы по какой-либо специальности, не больше, не меньше.

Мне кажется в этом месте у нас расходятся мировоззрения.

С моей точки зрения, диплом не является подтверждения навыков работы по специальности. Вообще. И знаний. И опыта. Поэтому — есть диплом или нет — для меня совершено не важно. И ничего он не подтверждает, кроме некой доли упорства (возможного умения учиться и сдавать экзамены), потраченного времени и денег (своих, родительских и заёмных). В лучшем случае помогает в вероятностной оценке каких-то предположений относительно обладателя этого диплома.

Лично в моей жизни диплом понадобился только раз. Закончил я учится. Стал работать. Через некоторое время из отдела кадров меня попросили — если есть диплом — принеси. Причина — им нужно какую-то статотчетность отдавать государству… Пришлось сходить и получить диплом. С тех пор мой диплом никому никогда не нужен был.

Если я провожу интервью с кандидатами на работу — то мне всё равно — есть у них диплом или нет. А если есть, то что они обсуждали на госэкзаменах — теорию поля и функциональный анализ, или как хвосты коровам крутить. Интерес представляет — что эти люди делал раньше — где, с кем, какие проекты, какие результаты. Как они думает, рассуждает. Можно ли посмотреть результаты их работ. Пообщаться с людьми, которые их знают. И ещё — мир людей маленький, а интернет — большой. И всё что туда попадает — остаётся там навсегда.

Поэтому для меня (лично для меня) такая, как бы сказать, «сакральная» значимость диплома — выглядит странной. И уж тем более выглядит странным — желание тратить деньги на реестр этих дипломов. Тем более, когда я читаю декларируемые цели — и то как их пытаются достичь.

Вот ниже написано
Закон о профстандартах в скором времени будет обязателен для всех, а не только госконтор.

Правильно. И придумать госконтору, которая будет за этим следить. И штрафовать нерадивых. Ещё будет работа для сотен, а может тысяч людей. Все при деле. Безработица падает. Только все такие работы — из разряда «перераспределить», а не «создать».
И ничего он не подтверждает, кроме некой доли упорства (возможного умения учиться и сдавать экзамены), потраченного времени и денег (своих, родительских и заёмных).
Вообще-то, как говорит Википедия — это официальный документ говорящий о присвоении соответствующей квалификации, каковая присваивается по результатам защиты выпускной квалификационной работы.

То есть проверка умения работать по специальности — в чистом виде.

С тех пор мой диплом никому никогда не нужен был.
И именно это — является проблемой. Либо у нас высшее образование порождает выпускников, которые не могут работать по специальности, либо у нас документы не могут быть подтверждением того, что специалист обладает достаточной квалификацией.

С обоими проблемами, понятно, нужно бороться — но метод «а давайте вообще „забьём“ на систему высшего образования и создадим параллельно такую же, но с блекджеком и шлюхами членскими взносами и страхованием» мне кажется несколько черезмерым.

Правильно. И придумать госконтору, которая будет за этим следить. И штрафовать нерадивых. Ещё будет работа для сотен, а может тысяч людей. Все при деле. Безработица падает. Только все такие работы — из разряда «перераспределить», а не «создать».
Нет. Это из разряда — «делегировать, а не рулить самому». Как, собственно, вы и предлагали.

Тут цепочка-то рассуждений довольно короткая:
1. Делегировать, а не рулить самому — это хорошо (заметим — это ваш тезис, не мой).
2. Любой способ делегации кого-либо кому-либо упрётся в проблему верификации.
3. Для решения проблемы верификации централизованная база — проверенное средство (при надлежащем исполнении), вот и всё.

Тот факт, что система делегации не работает и вам приходится обсуждать с кандидатами всё лично, потому что доверять документу, который, собственно, изначально и призван был избавить людей от изнурительных разговоров нельзя — это проблема. Но является ли эта проблема неразрешемой? Неизвестно. Но точно известно что она не разрешима при условии, что её никто не разрешает…
Закон о профстандартах в скором времени будет обязателен для всех, а не только госконтор.
Вот даже не знаю — хулить автора, али пестовать.
Столько лет приличные граждане на этом копейку зарубали честным трудом, а тут пришел он и всю малину обгадил.
С другой стороны полезное дело сделал — если его таки найдут, то всех собак повесят на него.

...
/sarcasm
На всякий случай.
Ныне уже и на просторах хабра встречаются настолько интересные личности, что сразу и не скажешь — шутит автор или высказывает свою точку зрения.
Самое интересное здесь то, что эта статья по сути описание преступления. Ведь автор нарушил ст. 272 УК.
Возможен и такой порядок действий. При подозрении на уязвимость — сообщить администрации сайта без попыток использования уязвимости. В таком случае, конечно не будет удовлетворения от того, что узнал к чему же может эта уязвимость привести и не будет интересной истории для рассказа, зато благие намерения будут бескорыстными и не будут преследоваться законом.
Тут конечно можно поспекулировать на тему «а если проигнорируют» или «не поймут», и это может тоже доставить, а потом в сердцах все же довести возможную уязвимость до реальной и написать об этом статью, а ещё лучше инструкцию, чтобы неповадно было.
В статье указано 14 миллионов документов.
То есть даже если не учитывать, что у людей может быть по 2 и более диплома, а также умерших людей, то высшее образование есть только у 10% населения.
Что-то маловато, учитывая почти поголовный поход в институты.
Насколько я понимаю, сейчас в базе сведения по диплом только за несколько лет.
Вот тут явно написано про 2010 и 2011 года, скорее всего, есть и за последующие, а за предыдущие нет (и не факт что будут).
А если бы база была блокчейном, то тогда можно было отследить аномалии, возможно… и проблем с потерянными логами не было бы. И не обязательно сложный биткоин — классический чейн, можно просто блоки со связкой хешей, т.е. самый простой вариант.
Я думаю, ТС нужно сейчас исходить из того, что он сильно наследил и его могут вычислить, с большой вероятностью и довольно быстро.
мне интересно теперь три вещи.
будут ли искать?
Найдут ли?
Кто ответил за это рособрнадзоре и ответил ли вообще, данные то слиты.

автор поста ты тут еще?
а еще было бы интересно услышать комментарий рособрнадзора по этому поводу хоть где нибудь, а то такое ощущение, что ничего не произошло такого. Основная часть СМИ молчит.
а то такое ощущение, что ничего не произошло такого

А разве что-то «такое» произошло?

Как это видим мы:
Шел 2018-й год. Скрипт-кидди находят sql-инъекцию на правительственном сайте с персональными данными. Не просто правительственном, а минобр. Во всех своих подчиненных структурах не смогли найти того кто напишет без sql-инъекции.

Как это видят «они» (от чиновника до обывателя):
На очередном сайте была какая-то ошибка, но ее исправили. Всё.
конечно произошло, базу слили, просто сейчас хотят сделать единый электронный документ, права паспорт инн и т.д всё в одном. Глядя на то как ломают сайты МВД и сайты с ПДН на 15000000 млн человек, задумываешься, а не рано ли думать о таком вообще.
Вы просто отстали от жизни.
Обывателю — пофиг. Им не понять серьезность пробелемы.
Тем кто хоть чуть-чуть в теме — пофиг вдвойне ибо серьезность проблемы они осознали еще лет десять назад.

SQL-инъекция это то, что проверяется любым сканером уязвимостей который есть у любого скрипт-кидди. Скучно. Из более веселого… как бы так чтобы не спалить никого. В общем явок и паролей не будет, но на одном российском сайте с гораздо более серьезными данными утечка которых действительно проблема а не этот комариный укус — есть два режима просмотра. Для граждан и для чиновников.
Чиновникам показывают всё что есть в базе, включая и щекотливые данные. Гражданам только часть информации, которую можно показывать.
Чтобы получить доступ к информации для чиновника нужно авторизоваться со своей ЭЦП, с правильного айпи и т.п. Но интерфейс у них общий. Просто чиновникам показывают больше. В общем если посмотреть на ссылку, то в варианте для граждан в ссылке есть гет-параметр: &showSecretData=False.
Вот сейчас я без сарказма буду писать. Серьезно. Поверьте мне. То что будет написано ниже — будет без сарказма, и на полном серьезе:
Вот такая вот защита с гет-параметром является более надежной чем то что было на обсуждаемом дырявом сайте, и эту фишку знает гораздо меньше человек.
Почему? Все банально — дыра на видном месте, но сканер автоматом не найдет.
Так что это действительно надежный сайт. Ну как для гос.сайтов конечно.
И другого мнения быть не может — это их обычный уровень компетенции.
Так что ничего не произошло. Просто еще один человек (вы) узнал реальное положение вещей. И всё.

Articles