Új hozzászólás Aktív témák
-
ddekany
veterán
Azóta kitették a Telegram csatornájukra forráskódot is leltöltésre. Szóval most már mindenki kereshet további sebezhetőségeket, és ki tudja miféle céllal kihasználhatja őket.
Persze a fejlesztő cégnél már 1-2 hónapja tudják a fejesek, hogy kikerült a forráskód. Remélem ott is ezerrel keresték azóta a sérülékenységeket. Ha nem, akkor elképesztően ostobák. (A mutatott barkács XSS védelem pl. nem semmi... és persze lyukas is. Szóval van mit átnézni.)
Amúgy, ezen a ponton már mindenféle definíciója megdőlt az "etikus hackernek". Ettől még lehet egyet érteni a tettükkel, de, szóval ez erősen, hogy is mondjam, gerilla lépés.
-
ddekany
veterán
Ha nem csak az ottdolgozóknak/szakembereknek akarnak bizonyítani, hanem közvéleményre akarnak hatni, akkor a ténylegesen lemásolás sokkal hatásosabb. Persze ennek bizonyítása nem történt meg nyilvánosan, de gondolom a fejlesztő cégnél már tudják, hogy tényleg lemásolták az adatokat, szóval nem fogják ezt megkérdőjelezni a publikum előtt.
[ Szerkesztve ]
-
ddekany
veterán
Ez afféle politikai indíttatású akicónak tűnik, tehát fontos, hogy minél inkább üssön a laikus közönség szemében. Ehhez nyilván az is kell, hogy közérthető legyen, mit csináltak.
Persze ilyen okból lehettek volna sokkal brutálisabbak is, csak akkor gerilla harcos helyett közellenségek lennének kb. mindenki szemében. Szóval valószínűleg ez az optimális szint, hogy tényleg elvisznek mindent, de aztán nem adják ki, meg nem vandálkodnak.
Amúgy, még a kikerülő belső beszélgetések lesznek tán mókásak...
[ Szerkesztve ]
-
ddekany
veterán
Áh, nagyobb cégnél dolgozok, akik egyéb olcsóbb országokban is dolgoztatnak, és bizony, keletkeznek ilyenek. Biztos Magyarországon is fellehetők hasonló fazonok. Ugyan fel nem fogom, hogyan képes valaki hasonlókra (akár ennél is abszurdabbra), miközben orvosi értelemben nem őrült, de hát a tapasztalatom, hogy ez ilyen. A vezető fejlesztőknek a PR-okat meg kell nézni, és az ilyet visszadobni, anyatigrisként védelmezve a kódot. Hát ez ebben az esetben nem történt meg.
Amúgy ez, és ennél kicsivel több is, ott van a Telegrammon is... az az elsődleges forrás, nem a reddit. Nem linkelem, mert féltem a családot a TEK-től. De gondolom a jövőben is kikerülnek majd oda érdekes dolgok.
[ Szerkesztve ]
-
ddekany
veterán
válasz gregory91 #156 üzenetére
A forráskód feltárása olyan problémákat is okoz, hogy most talán sokan elkezdenek sérülékenységeket keresni, és azokat kihasználni. Sőt, a Sawarim$ maga is csinált is egy Github repot, ahova majd állítólag feltöltenek exploit POC-okat. Persze legjobb módszer arra, hogy nekiáljanak javítgatni ezeket. Bár ha volt bármennyi sütnivalójuk, az ellopott verzióban lévő hibák jórészét már hetekkel ezelőtt javították... Bár miután ezt el akarták tusolni, nem tudom mennyi eszük van. Hogy a frászba ne derülne ez ki, mi értelme volt sunnyogni? (Gondolták megtalálják, és elteszik láb alól az elkövetőket? Ez is egy lehetőség, de nem hiszem hogy így meg mernék emelni a tétet. Azzal megbuknak, azér azért több jár, mint ezért fog.)
-
ddekany
veterán
Értem mit mondasz, de persze a gyakorlatban meg rakás dolog ezen a rendszeren megy évek óta, nem lehet egy 2 éves üzemszünet újraírás miatt. Szóval kénytelenek ezerrel javítgatni. Gondolom mivel ki lett adva a forráskód tegnap, meg megjelent az ekreta-exploits repo Github-on (de még üres), gyorsan kiteszik amit az utóbbi hetekben reszeltek. Ez most ilyen sportrendezvény, hogy így hogy volt pár hét fórjuk, ki találta meg hamarabb a hibát...
[ Szerkesztve ]
Új hozzászólás Aktív témák
- Kínai, és egyéb olcsó órák topikja
- Poco X6 Pro - ötös alá
- Rövid előzetesen a S.T.A.L.K.E.R. 2: Heart of Chornobyl
- Politika
- Épített vízhűtés (nem kompakt) topic
- Győr és környéke adok-veszek-beszélgetek
- Mibe tegyem a megtakarításaimat?
- Milyen CPU léghűtést vegyek?
- Vezeték nélküli fülhallgatók
- Autós topik
- További aktív témák...