Pri mojom predposlednom článku zo série Full Disclosure “Zoznamka.azet.sk: Štvrť milióna emailov voľne k dispozícii (Doplnené)” sa vynorilo niekoľko otázok, či bolo etické, alebo nie takto postupovať pri zverejnení zraniteľnosti. Moje dôvody som opísal v článku “Niečo viac o objavení kolesa“.
Mnohým sa môj postup nepáčil, zopár mojich priateľov a známych (medzi nimi aj Jozef Vyskoč) nebolo nadšených z môjho postupu. Aj keď nakoniec po odpublikovaní druhého, vysvetľujúceho článku sa pridala časť na moju stranu, prakticky všetci uznali, že nám chýbajú pravidlá pre riešenie podobných situácií.
Aby podobné situácie nevznikali a aby sa v budúcnosti každý mohol orientovať podľa určených zásad, rozhodli sme sa s Jozefom Vyskočom spísať zásady, podľa ktorých by sa malo (mohlo) postupovať pri medializácii objavenej zraniteľnosti a to nielen na strane oznamovateľa, ale aj na strane spoločnosti.
Tieto zásady sú spísané pod článkom a boli by sme veľmi radi, keby ste sa k nim vyjadrili, či už v negatívnom alebo pozitívnom zmysle. V konečnej podobe ich budeme následne publikovať a snažiť sa presadzovať ich dodržiavanie a to hlavne u odbornej verejnosti. Vzniknutá diskusia môže pomôcť vytvoriť skutočne kvalitné pravidlá, z ktorých by sme v konečnom dôsledku mohli vytvoriť zásady tzv. Disclosure Policy, ktoré môžu používať všetky weby a podľa ktorých by mal každý zodpovedný nálezca postupovať.
Osobne si myslim, ze toto je len akesy ospravedlnenie sa, za to, ako si postupoval pri zverejneni zranitelnosti na azete. Ze by sa ti vyhrazali sudom, alebo nieco podobne?
Inak som si to precital cele, okrem bodu 1 a sice myslienka je to krasna, ale nemyslim si, ze je zrealizovatelna. Neviem si celkom dobre predstavit, ako chces donutit obe strany, aby sa riadili tymito zasadami?
Tie 2 dni su aj niecim podlozene, alebo len tak zbrucha? Malo by zalezat na zavaznosti chyby (=strata v pripade zneuzitia black hatmi) a tiez potrebnom case a cene opravy.
Odporucana literatura:
http://www.dtc.umn.edu/weis2004/xu.pdf
Wikipedia zmienuje v jednom z clankov ako minimum na disclosure 5 dni:
http://en.wikipedia.org/wiki/RFPolicy
A ano, CERT (akoze ta tretia strana) nam tu chyba.
Nuz… pripomina mi to slohovu pracu na temu “Ako pomaham mamicke a oteckovi”
Suhlasim, ze je potrebne definovat v ramci prava jednak samotne prava, ale aj povinnosti obidvoch stran. Pokial sa napise akykolvek podobny jazykovy utvar, realny dopad je 0 (slovom nulovy).
A - neviem ako vam, ale mne tam chyba to zasadne, kvoli comu chcem problem reportovat a to je odstranenie chyby, zranitelnosti. Zbytocne bude mat prevadzkovatel webu e-mail, kde mu budu reportovat ludia chyby, pokial sa chyby nezaviaze odstranit.
B2 - typickou odpovedou vacsiny firiem bude - nie su peniaze.
Pokial sa jasne nedefinuju zakonmi pravidla ako zodpovednost za nezabezpecenie, zodpovednost za vystavenie, vzdy to budu len reci, ktore nikto nebude dodrziavat.
2 TommyHot: Azet sa moze skusat sudit kolko chce, tie e-maily a inzeraty indexoval davno google a davno ich vyuzivali spamboty. Rasto urobil “blbost” v tom, ze zverejnil tool, ktory dokazal pozbierat vela adries naraz a to sa uz Azetu nemusi az tak pacit(obmedzenie sluzieb, mensi zisk z reklamy, usly zisk,…). Tak ci tak, definovanie akychkolvek peknych kecov je sice pekne (mozno az romanticke), ale do praxe nepresaditelne.
TommyHot: hned z rana si ma paradne rozosmial :) Ver mi, keby Azet mohol podat trestne oznamenie, urobi to uz davno. To dokazuje tvoje znalosti zakonov na Slovensku. Nie, nie je to ziadna forma ospravedlnenia. Je to presne to, co som napisal.
matej: samozrejme ze su z brucha. Pocet dni samozrejme vzdy zalezi na zranitelnosti, to sa neda popriet. Minimum vsak urcit ako pat dni je prehnane a to uz hlavne pri nahlasovani XSS a podobne. To su minutove zasahy, nie je dovod urcovat za minimum 5 pracnovnych dni. Kazdy, kto sa bude chciet podobnej zranitelnosti drzat, ma svoju hlavu a vie si snad rozmysliet, ako postupovat v tom konkretnom pripade. na to tu predsa nie sme, aby sme niekomu hovorili step by step co ma robit. Ide len o odporucaci dokument, ktory by mohol vniest urcite pravidla do chaosu, nic viac, nic menej.
Boris: Nech ti to pripomina co chces, je to presne to, co tam vidis. Nejde nam o donutenie nikoho aby sa podla toho spraval. Jendoducho sme chceli vytvorit pravidla, ktore by zodpovednym objavitelom zranitelnosti pomohli pri dalsom fungovani. Ak sa budu spravat podla tohoto dokumentu, ziskaju verejnu podporu aj dalsich ludi, vratane mna ci pana Vyskoca. Je to casto dolezita vec, hlavne pre tych, na ktorych sa da vyvijat naspat velky natlak zo strany poskodenej spolocnosti.
Autoamtizovany nastroj mal svoj dovod, opisal som to tolkokrat, ze uz ani neviem co dodat. Napisat tool na vybratie value z hidden inputu snad zvladne aj ten, co si len teraz otvori knizku o niektorom z jazykov. neviem co v tom hladate vsetci, nic ine to vsak nebolo
mno takze vyjadrim sa k popisanemu v bodoch, suhrnne vsak musim povedat, ze sa mi tato iniciativa velmi paci a v plnej miere jej drzim palce. blizsie teda v odsekoch:
- “k zverejneniu, resp. medializácii existencie bezpečnostného nedostatku pristúpi až v prípade preukázateľného nezáujmu prevádzkovateľa systému/dodávateľa softvéru o riešenie zisteného bezpečnostného nedostatku a to najskôr po plných dvoch pracovných dňoch od nahlásenia bezpečnostnej zraniteľnosti prevádzkovateľovi systému”
- v pripade preukazatelneho nezaujmu? co je preukazatelny nezaujem? obmedzenie na dva pracovne dni je sice fajn, ale definovaniu toho, co je preukazatelny nezaujem asi moc nepomaha..
- “Oznamovateľ si môže vyhotoviť obrazové a zvukové dôkazy o existencii zraniteľnosti ešte pred jej nahlásením, ak tým neporuší zákon (vstup do databázy, kopírovanie dát zo servera, atď.).”
- problem pri tomto bode mam s tym, ze prevadzkovatel moze za vstup do databazy, kopirovanie dat zo servra, resp nepovolene vyuzivanie systemu povazovat hocico, aj otvorenie stranky. vacsina portalov ma v podmienkach pouzivania presne stanovene, na co sa portal moze pouzivat. vytvaranie POC videi, screenov, ci skriptov to nebude a tym padom je taketo konanie pravne napadnutelne.
- “oznamovateľ zváži, či má záujem na vyvinutie silnejšieho tlaku na prevádzkovateľa/dodávateľa formou zverejnenia (medializácie) upozornenia na existenciu predmetného bezpečnostného nedostatku, resp. upozornenia na nekorektné konanie prevádzkovateľa/dodávateľa.”
- zvazi, ci ma zaujem o vyvinutie tlaku? ak nic ine, tak Vas poprosim o to, aby ste to minimalne preformulovali a dali tomu diplomatickejsi nadych, pretoze vyvijanie tlaku nebude moc koser a moze to byt bodom, kvoli ktoremu to zo strany prevadzkovatelov bude odmietnute. osobne by som tiez neprijal nieco, v com je doslovne zakorenene, ze na mna niekto moze vyvijat tlak.
TommyHot:
- “Inak som si to precital cele, okrem bodu 1 a sice myslienka je to krasna, ale nemyslim si, ze je zrealizovatelna.”
- ja som velky optimista a preto si myslim, ze keby je to zasadene do nejakeho silnejsieho projektu, keby to bolo viac rozpracovane a priamo rozdistribuovane relevantnym osobam, tak by to mohlo zacat fungovat. dnes sa na webe toci viac penazi a vzhladom na to, ze sa jeho podstatnou castou stal aj marketing, velke spolocnosti si na svoj brand nedaju dopustit. je to skor otazkou casu a dostatocnej koordinovanej iniciativy zo strany ludi, ktorych je mozne povazovat za profesionalov na bezpecnost informacnych systemov (ako napriklad ty, par dalsich ludi z bh, rasto, ci jozef vyskoc)
Boris:
- “Ako pomaham mamicke a oteckovi”
- lol. mozno keby si bol byval mamicke a oteckovi pomahal, tak by si vedel, ze sa to oplati, pretoze mamicka ci otecko nemusia vsetko vediet, vidiet ci stihat. a od teba, ako rozumnej, zodpovednej osoby, ktora nie je ziadnym sposobom indisponovana, sa ocakava, aby si sa realizoval a nie len pasivne prijimal.
- “kvoli comu chcem problem reportovat a to je odstranenie chyby, zranitelnosti.”
- neviem co si cital ty, ale to, co som cital ja odpovede na tieto otazky obsahovalo. tak v casti hovoriacej zasadach zodpovedneho pristupu, ktore si uviedol, tak aj nizsie, v popise odporucaneho postupu pri oznamovani.
- “B2 - typickou odpovedou vacsiny firiem bude - nie su peniaze.”
- odpoved na toto si najdes vyssie, v mojej odpovedi pre TommyHot-a. V dnesnej dobe uz odvolavanie sa na peniaze nie je bezne. okrem toho, znacne ti ako prevadzkovatelovi systemu pomoze a usetri prostriedky to, ze oznamovatel sa podla tohto dokumentu zavazuje spolupracovat na odstraneni problemu/chyby.
- “Pokial sa jasne nedefinuju zakonmi pravidla ako zodpovednost za nezabezpecenie, zodpovednost za vystavenie, vzdy to budu len reci, ktore nikto nebude dodrziavat.”
- aktualne definovanie v ramci zakonov je dostatocne siroke. problemom je skor nespecifickost a nepresnost tychto zakonov v tom zmysle, ze neobsahuju podrobnosti viazuce sa na IT.
- “2 TommyHot: Azet sa moze skusat sudit kolko chce, tie e-maily a inzeraty indexoval davno google a davno ich vyuzivali spamboty. Rasto urobil - “blbost” v tom, ze zverejnil tool, ktory dokazal pozbierat vela adries naraz”
indexovanie je v podstate pasivnou cinnostou. to co spravil rasto bolo cielene. a problem je skor v tom. najlepsou reakciou, ktoru som zatial na tuto temu cital, je vyskocov blog. ani ten vsak neuvadza vsetky moznosti toho, ako moze byt oznamovatel v takejto situacii pravne napadnuty. spytaj sa pravnika, ktory sa vo webovych technologiach vyzna..
Tato tema si urcite zasluzi pozornost. Sam neschvalujem sposob akym oooo poukazal na chybu v azete, no zaroven chapem jeho potrebu nieco v tejto veci spravit. Pravidla pre odhalovanie security chyb ci chybiciek by mohli do buducna pomoct IT security nadsencom slusnym sposobom pomoct v boji za bezpecnejsi NET a reportovat svoje objavy zodpovednym osobam (za ucelom napravy).
V pravidlach co tu dnes visia je potrebne este dotukat co to pravnych vylevov, lebo podobne kroky mozu mat vplyv na trestnopravnu, ale aj na obcianskopravnu zodpovednost (plus sa tam mozu objavit aj spravnopravne delikty). Ako viackrat oooo povedal - kebyze sme v USA tak tu mame uz hromadu zalob. esteze nie sme :-)
Ako sme sa dohodli, prispejem samozrejme k tvorbe tohto manualu, aby bolo riziko porusenia zakonov konanim ohlasovatela co najnizsie.
- “k zverejneniu, resp. medializácii existencie bezpečnostného nedostatku pristúpi až v prípade preukázateľného nezáujmu prevádzkovateľa systému/dodávateľa softvéru o riešenie zisteného bezpečnostného nedostatku a to najskôr po plných dvoch pracovných dňoch od nahlásenia bezpečnostnej zraniteľnosti prevádzkovateľovi systému”
Preukazanie zaujmu/nezaujmu sa pravne riesi tak, ze sa zasle list danemu subjektu, ktoreho obsah formuluje jasne stanoviska a otazky. Za nezaujem sa povazuje neprebratie listu (jeho navrat odosielatelovi) alebo absolutne ziadna reakcia ci odpoved. Ak dany subjekt odpovie (je jedno ci kladne alebo zaporne - hoc aj prazdnu ofrankovanu obalku), proste urobi “reakciu”, povazuje sa to za preukazatelny zaujem o danu vec. Z toho celeho vyplyva, ze to co nie je napisane na papieri, ostemplovane ci podpisane, nema pre dokazovacie konanie a urady ziadnu vahu. Vsetko zostane na urovni medialnych pinkaciek. Uspechom by som nenazval ani reportaz v TV, ktora bazi iba po senzaciach a naplneni vysielacieho priestoru.
Takze ak chece niekto preukazat zaujem/nezaujem, posle listovu zasielku, a je tam casova lehota (tusim 3 tyzdne), pokym si ju subjekt nevyzdvihne. Preto by bolo celkom otazne, kto sa bude v zaujme bezpecnosti bezplatne zaoberat bezpecnostnymi problemami nejakeho portalu, ktory za ten cas zarobi taky objem finanncii, ako mozno ani oznamovatel nezarobi za pol zivota.
To len k tomuto bodu. Na dalsie som zatial nemal cas :)
to bude vždy diskutabilne
Myslim ze myslienka je to dobra, aj ked musim suhlasit ze to ma nedostatky. mizu vo svojom poste ich dobre popisal.
Dokument “Zodpovedný prístup k upozorňovaniu na bezpečnostné nedostatky” moze sluzit ako neoficialny guidline pre pripady podomnym http://blog.synopsi.com/2008-07-06/zoznamkaazetsk-stvrt-miliona-emailov-volne-k-dispozicii-doplnene, avsak oznamovatel bude vzdy v nevyhode, kedze pre odhalenie bezpecnostnych chyb je potrebne “pouzivat portal inac ako stanovuju podmienky pouzivania portalu”, co moze a zrejme bude v rozpore so zakonom. Cize tento dokument moze stanovit moralne zasady v ramci komunity, avsak neuchrani oznamovatela pred pripadnym trestnym stihanim za umyselne naburanie sa do systemu.
Nechcem tym povedat ze tento dokument nema zmysel, este raz zopakujem ze myslienka je to dobra, avsak chcem poukazat na fakt, ze treba pamatat na zadne dvierka.
mizu velmi dobre napisal : “ja som velky optimista a preto si myslim, ze keby je to zasadene do nejakeho silnejsieho projektu, keby to bolo viac rozpracovane a priamo rozdistribuovane relevantnym osobam, tak by to mohlo zacat fungovat. dnes sa na webe toci viac penazi a vzhladom na to, ze sa jeho podstatnou castou stal aj marketing, velke spolocnosti si na svoj brand nedaju dopustit. je to skor otazkou casu a dostatocnej koordinovanej iniciativy zo strany ludi, ktorych je mozne povazovat za profesionalov na bezpecnost informacnych systemov (ako napriklad ty, par dalsich ludi z bh, rasto, ci jozef vyskoc)”
K jeho myslienke sa priklanam aj ja. A to ak by sa zo spominaneho “silnejsieho projektu” stala autorita uznavana nielen komunitou ale by sa dostala aj do povedomia sirsej verejnosti pouzivatelov internetu ako odbornici na bezpecnost, mala by moc tlacit na komercne spolocnosti.
mizu: dakujeme za podporu, urcite sa hodi. teraz k jednotlivym bodom
- nezaujem je dany tym, ze sa spolocnost nesnazi komunikovat, popripade posle nieco taketo.
- co sa tyka postupu. prevadzkovatel mzoe urcit co chce. ak ja najdem napriklad sql injection a som stale na strane klienta a nezneuzivam ju, teda nepumpujem sql server prikazmi, ktore vykonavaju inu cinnost ako maju, napriklad dumping db, tak je to vsetko v poriadku a prevadzkovatel nema akukolvek nadej spor pred sudom vyhrat
- o tom tlaku je to asi pravda. preformulujeme.
gabriel: ides moc do realneho sveta. v online svete sa da nezaujem klasifikovat uplne inak. to ci uz podla zakona je samozrejme ina vec. dolezite je vsak to, ze ak spolocnost nepreukaze zaujem (to som uz opisal v tomto komentari na zaciatku), je mozne postupovat opat podla stanovenych pravidiel korektne bez zbytocnych nasledkov.
divamys: v urcitom zmysle mas pravdu, ale urcite nie v tom, ze pouzijem portal inak, ako je urcene. napriklad XSS zranitelnost je castou samotneho portalu ktoreho funkcionalitu vyuzivam. XSS je spustane az na strane klienta, cize sa to serveru tyka len vramci inicializacie. rovnako, aj ked odhalis rfi, sql injection, atd., nikto ti nekaze ich zneuzivat. pre ich potvrdenie existuje dost technik, aby si nemusel liezt tam, kam nemas. to uz urcitym sposobom ospravedlnovanie buduceho postupu. nie, o tom nam nejde. vyslovene chceme zabranit podobnym praktikam. ak sa toho bude oznamovatel drzat, tak k poruseniu nedojde.
vacsi problem nastava v pripade ako je nbu, kde bez otestovania funkcnosti pristupu na server tuto zranitelnost (nedbalost) nepotvrdis. aj na to mame vymyslene riesenie, ale to chce cas.
oooo: nemas pravdu, ak nepreukazes zaujem sposobom, ktory akceptuju zakony krajiny (na zaklade ktorych ma portal chranit osobne udaje a pod.), moze ta druha strana zazalovat za ohovaranie, poskodzovanie dobreho mena, usli zisk a pod. Ked clovek zacne poukazovat na veci, ktore mozu viest k poruseniu zakonov krajiny, ty musis poukazovat rovnakou zbranou. Inak sa ti portal moze vysmiet do tvare (aj ked v podstate pravdu nema), ale nic ine sa nestane. Ty si napisal na net pravidla, oni napisali PR clanok. Dany portal sa moze potom vykaslat na to, ze niekto sa riadi a dotazuje na chyby jej systemu nejakym z brucha spisanimi “pravidlami”. Tu nejde o nic ine, len si nemylit hrusky s jablkami (a priznat si to), v horsom pripade hrusky prezliekat za jablka alebo opacne, len aby nejake pravidla mali vyznam ci v realnom alebo i-net svete.
A inak virtualny svet lezi na zaklade realneho. nepochopil som vetu : “v online svete sa da nezaujem klasifikovat uplne inak. to ci uz podla zakona je samozrejme ina vec.”
Sam pises o PREUKAZANI. Ako chces preukazat, ze si niekomu telefonoval, poslal email? Ako vies dokazat, ze dany portal email obdrzal (prijal)? Notifikaciou o prijati a doruceni? Akceptuje take nieco zakon? Ako prenesies nieco co je na obrazovke a v el. forme do hmutnej formy aby si ziskal dokaz o zaujme/nezaujme? Tu ide o dokazovanie a to ma presne pravidla. Rozhodnutie ci portal urobil chybu nelezi na nasom subjektivnom vnimani, ale na tych, ktori to posudzuju. Je tu strasne vela otazok, na ktore su zlozite odpovede a na hrane polemik. Pravidla su fajn, ale obavam sa ze stavane na slabych zakladoch plynucich iba z nadsenia, nie vsak skusenosti a pravidiel, podla ktorych sa kruti minimalne svet tejto krajiny.
Gabriel:ty z tychto pravidiel robis zakon, co nie su. maju len odporucaci charakter, ktory bude akceptovany komunitou. nemam ziadny dosah na tvorenie legislativy a tak nemam dovod sa niecoho podobneho drzat. ak posles mail a spolocnost jednoducho neodpovie, zranitelnost opises podla jednoduchych zasad, ktore sme spisali. takto nie si napadnutelny, lebo povedat ze: aha on nas hackol, lebo upozornil ze tam mame sql injection je nieco take ako povedat ze on ma zrazil autom, lebo upozornil ze ma pokazene brzdy. proste, ak nezacnes liezt na portal cez rozne diery ale iba na ne upozornis (co je obrovsky rozdiel) a dodrzis spisane pravidla, bude kritika smerovat len na portal a nie teba samotneho. ak by na teba aj portal zalobu podal, vyhra len s velkou nahodou (vo vreckach sudcov), pretoze sa nikam “nevlames”, rovnako ako ja v pripade azetu.
Rasto, podla mna je to pekna aktivita, ale ako vravim, bez pravneho ramca je to ako vyhlasenie SAEC o vydavani certifikatov “Bezpečný nákup”. Je to pekne, nezavazne a nehladi to na mnozstvo aspektov.
Pokial nebude jasne definovane v ramci zakonov zodpovednost, povinnosti, prava, su to len keci. BTW, kto je komunita? Azet? Booom? Tempest? Synopsi? Blogeri zo sme.sk?
4 oooo: som rad ze som ta hned z rana rozosmial :) mas pravdu do zakonov slovenskej republiky sa nevyznam, hlavne do tych tykajucich sa IT, ktore nie su ani poriadne zrozumitelne definovane :)
Nech uz boli tieto pravidla spisane s akymkolvek zamerom, mam pocit, ze stale nepadlo konkretne riesenie, ako prinutit obe strany drzat sa ich? Je uplne jedno ci bude doba oznamenia zranitelnosti 2 dni alebo tyzden, pokial nie je vyzia ako to uviest do praxe, nie je moc o com diskutovat :)
Drzim palce, ale stale som skepticky (minimalne do doby, kym sa nevyriesi vyssie zmienovany problem).
ok. budem velmi, prevelmi predbiehat a skusim vam nacrtnut moju viziu. tou je zalozenie napriklad obcianskeho zdruzenia (forma nie je teraz dolezita), ktora by sa v urcitom zmysle spravala ako cert. ide mi hlavne o to vytvorit komunikaciu medzi spolocnostami a oznamovatelmi. tych by som chcel uvrhnut do anonymnej roviny a dat im dodatocne prilezitost sa k objaveniu priznat, co im vlastne umozni ziskat kredit. tzn, kazda spolocnost, ktora sa prida do zdruzenia ziska moznost vyuzivat softver (web), kde sa budu dane zranitelnosti, ale aj normalne napady pisat. samozrejme, prijimat ich bude len dana osoba zo spolocnosti. ak sa oznamovatel rozhodne, ze chce zranitelnost publikovat, bude mat od zdruzenia zelenu a podporu a to samozrejme az po dodrzani podmienok. rovnako tak spolocnosti. neviem ci je to najlepsia myslienka, mne sa vsak paci. urcite sa k nej budete mat este prilezitost vyjadrit, ale skutocne prilis predbieham.
nateraz su dolezite pravidla, z ktorych vyvodime neskor dislosure policy (asi trojstupnove) pre weby. kazdy kto sa zapoji bude jasne oznaceny a bude vyuzivat znalosti komunity, ktora sa okolo tohoto vytvori. komunitou nazyvam tych, co napriklad diskutuju tu, pod tymto clankom, ale samozrejme nielen ich. vacsina sa aj tak dobre pozna, cize nie je az taky problem vyclenit tych najlepsich ci znalych a nechat ich dozorovat.
my nebudujeme legislativu, ale skor chceme niekde zacat. berte to tak. ak je to teenager, ktory sa chce silou-mocou zviditelnit, moze vyuzit aj nas a my mu k tomu skutocne dopomozeme medializaciou chyb, teda skor len jej podstaty. takto sa pomoze aj danej spolocnosti tym, ze bude chyba ostranena, dalsim, ktori by mohli chybu zopakovat a samozrejme oznamovatelovi, ktoremu bude pripisany plny kredit. vsetci su spokojni.
tieto pravidla nemaju priniest navrh zakona, ako narabat pri podobnych pripadoch, na to chyba mnozstvo inych veci, ako napriklad, co je to publikovanie. je to, ked sa objavi text v html dokumente a je ho mozne precitat kymkolvek, alebo je to viditelny text od urciteho fontu? to su jednoducho otazky, ktore je treba najskor zodpovedat a vytvorit skutocne nepriestrelne hranice a az potom moze vznikat legislativa. do tej doby mozeme zacat vyplnat prazdne miesta my.
no mna do tej tvojej komunity laskavo netahaj.
nechapem co si za socialistu ked chces aby niekto zadarmo pracoval a pod vyhrazkou zverejnenia citlivych udajov na verejnosti diktoval sukromnym firmam ktore prevadzkuju weby aby svoj cas a peniaze investovali do urcitej cinnosti ktora pre nich mozno nie je absolutne zaujimava.
Ja by som len ešte raz pripomenul, že zákony a etické/morálne zásady nie sú jedno a to isté. Ak to niekto nechápe, pár príkladov - “uvoľniť miesto v autobuse starším/tehotným/nevládnym” nie je zákon, ale slušnosť (”patrí sa to”). Ak si niekto na koncerte hlasno “uľaví”, nie je to protizákonné, ale “nepatrí sa to”. A tak podobne. Mnohé z toho, čo sa “patrí” a čo nie nás naučia rodičia … ale to, ako “sa patrí” upozorniť na bezpečnostný nedostatok, je dosť nová záležitosť na to, aby to rodičia zahrnuli do svojej výchovy. nejde o zákon, niečo čo sa bude vynucovať - ide o pokus načrtnuť (dohodou komunity) “čo sa patrí”.
#15 Založenie OZ je IMHO dobrý štart. Určite tým to odporúčanie získa istú váhu, či už v povedomí širokej verejnosti, alebo aj zainteresovaných štátych orgánov a prevádzkovateľov deravých portálov. Držím tejto iniciatíve palce.
pthread: uhm, celkom som sa zasmial. nik ta do nicoho netaha, nik ta nikde nepotrebuje, nik ta ani len nepozna :) takze neviem k comu si smeroval, ale vacsinu to pravdepodobne ani len nezaujima.
kazdopadne, oznamovanie a dodrziavania pravidiel je dobrovolne, nik nikoho nikam nenuti. je to len nasa snaha pomoct spolocnostiam, ako aj oznamovatelom. nic ine v tom nehladaj, teda ani osobny zisk, ani nic dalsie
peter kovac: dakujeme
oooo: zakon… vies, ak mienis upozornit nejaku spolocnost a pri jej pasivite k danej veci vykonas akukolvek akciu, ktoru ona moze podla zakona zhodnotit a klasifikovat, tak sa mu nevynes. Preto do toho taham zakon, lebo spolocnost sa nim moze voci takymto aktivitam branit a im nevysvetlis, ze to robit nemaju, ze toto su len take obycajne pravidla nejakych oznamovatelov. Chapes? Ty v pravidlach na zakonny SR kaslat mozes, ale spolocnost / portal pri odpovedi na ne pojde podla zakona, ked urobis akciu, ktora ju moze ohrozit a vie sa danym paragrafom branit, tk to urobi. Takze branie ohladu na zakony SR si treba vsimnut.
Jozef Vyskoc: Dobre mravy su fajn. Mozu sa robit, ale nemusia. Napisal si iba prvu cast veci. Ta druha je trosku hlupejsia. Z toho ako si to napisal vyplyva, ze ked niekto nezareaguje na vyzvu “uvolni babicke sedadlo”, reakcia bude taka, ze tuto skutocnost danemu subjektu vyfarbite podla tychto pravidiel pekne natvrdo a verejne. A mozno prehliadnete, ze dany clovek ma zlomenu nohu (co sa kludne moze stat), kedze ziaden portal manikom na nete nemusi verejne vysvetlovat pozadie a problemy fungovania svojho portalu. Uznaj, ze to je pritiahnute za vlasy, minimalne to prirovnanie s aplikovanim diobrych mravov.
Tie alternativy mi pridu velmi agresivne. Nedavaju portalu a spolocnosti priestor povedat “vasu aktivitu si nezelame” v pripade, ze sa niekto do ich systemu zahryzne. Ak sa zahryzene a najdete zranitelnost systemu, ak vas portal nebude chciet posluchat, tak si jeho pozornost budete vybucovat. Budete pouzivat prostriedky, ktore nutia portal, aby bolo po vasom. Avsak, vy budete iba obcianske zdruzenie ktore portal nema povinnost pocuvat. Vy vsak v pravidlach tvrdite, ze to musi urobit. Preto su tie pravidla agresivne a jednostranne diktuju, ako sa budu veci vyvijat, hoci si to dany portal nezela, kedze nemusi.
Napriklad ooo neskryva to, ze nema azet emocionalne rad. Ako chcete zarucit, ze chyby na nejakom systeme hladate v zaujme danej spolocnosti a ochrany jej uzivatelov (profesionalny ciel), ked nebudete poznat pohnutky oznamovatela (a tie mozu byt cisto subjektivne a napr. nevrazive)?
Na konci tych pravidiel mala byt alternativa 3: Ak dana spolocnost / vyrobca software vyjadri poziadavku (napr. v podmienkach pouzivania svojho systemu) a oznaci nasu aktivitu za vopred nezelanu, oznamovanie akejkolvek bezpecnostnej chyby bude okamzite zastavene.
Ak nastane alternativa 3, kedze tieto pravidla budu len netovou aktivitou / obc. zdruzenim, poukazanie na danu chybu bude neverejne a moze sluzit na oznacenie daneho systemu do negativneho svetla IBA clenom zdruzenia a nesmie dojst k verejnemu osoceniu daneho systemu.
Gabriel - uznávam, že ten návrh bude potrebné preformulovať … minimálne preto, aby nevyvolával také nedorozumenia, aké vidieť v tejto diskusii. Je myslený ako návrh pre tých, ktorí SÚ ROZHODNUTÍ upozorniť na zistený nedostatok - do ničoho ich nenúti, rozhodnutie ponecháva na nich, len ukazuje, že AK sa rozhodnú pre zverejnenie, tak potom by bolo vhodné to urobiť nejakým spôsobom. Pripomínam, že predložený návrh nie je určený len pre ono “združenie” ale pre hocijakého “oznamovateľa”.
A k tomu “Z toho ako si to napisal vyplyva, ze ked niekto nezareaguje na vyzvu … reakcia bude taka, ze tuto skutocnost danemu subjektu vyfarbite podla tychto pravidiel pekne natvrdo a verejne” - to je trochu prehnaný záver z toho, čo som napísal. Ja som tými príkladmi len chcel poukázať na rozdiel medzi zákonmi a morálkou/etikou - kvôli pripomienkam (tuším Boris) že ten návrh je síce pekný, ale nebude sa dať vynucovať … etika/morálka sa na rozdiel od zákonov vynucovať nedá. Je pravda, že “ziaden portal manikom na nete nemusi verejne vysvetlovat pozadie a problemy fungovania svojho portalu”, z ktorej časti toho návrhu však vyplýva, že si chce niečo vynucovať? Návrh hovorí, že AK sa oznamovateľ rozhodne, že svoje zistenia bude medializovať, potom vhodný spôsob by mohol byť taký a taký … kde, v ktorej časti návrhu oznamovateľa k niečomu takému núti? Druhý odsek alternatívy 2 začína “V prípade rozhodnutia o zverejnení bezpečnostného nedostatku…” - urobiť z toho uzáver o agresivite návrhu sa mi zdá trochu prehnané.
Navrhujem v reakciách od seba oddeliť reakcie na návrh a reakcie na ono “združenie” - návrh je známy, jeho text je k dispozícii, o “združení” sa vie len toľko, že je nejaký zámer, nič presnejšie … za takých okolností je až príliš ľahké “združeniu” pripísať čokoľvek a potom sa do neho pustiť…
Pripomienka - Alternatíva 3 - stojí za zváženie, nakoľko takúto možnosť návrh nerieši, takže bude potrebné premyslieť čo v takom prípade. Bude to asi trochu zložitejšie - ak “oznaci nasu aktivitu za vopred nezelanu”, bude asi záležať na tom, KTO to tak označí. Pri všetkej úcte k adminom, je rozdiel či to takto odmietne admin alebo jeho nadriadený…
Gabriel: vsak o to ide. nema sa akym paragrafom hajit. Ano, moze ta zazalovat, to ta moze ktokolvek. sud vsak nevyhra, pretoze nema na akom zaklade. aj ked slovenskemu sudnictvu neverim ani trosku, vzdy existuju aj vyssie instancie, ktore rozhodnu inak. viem, ze prve co by sa dialo by bolo poukazovanie na zahranicie (minimalne zo strany pravneho zastupcu oznamovatela), kde su tieto podmienky dost bezne. ano, v usa je to striktne, teda ak spolocnost nema disclosure policy, ktore umoznuju beztrestne oznamovanie zranitelnosti, mozes byt zalovany. ale aspon vies od zaciatku co mozes a co nie. rozdiel je aj v type zranitelnosti. vezmi si xssed.com, ktory toto robi bez akehokolvek oznamovania, priamo sa navazaju do akehokolvek webu, pretoze ukladaju xss. zranitelnost, ktora nie je klasifikovatelna podla americkeho existujuceho zakona a tak si doslova robia co chcu. aj to je riesenie. kazdopadne, spolocnost sa moze ohradit voci comu chce, oznamovatel ma pravo dodrziavat tento moralny kodex a potom kludne publikovat. ak neprekroci hranice, spolocnost ho zalovat moze, ale nic tym nedosiahne, pretoze asi tazko bude rozpravat o poskodeni, ked si sa ani len nepohol z web interefacu.
je mi jasne ze to bude zalezat na sikovnosti pravnikov. preto sme zacali uvazovat na vytvoreni nezavislej tretej strany, ktora by takychto pravnikov mala a nahradzala kontaktny a informacny kanal pre oznamovatelov, ako aj spolocnosti. vyhodou by bolo nielen to, ze by sa mohli spolocnosti sudit len so spolocnostou ako aj to, ze by len tazko odolali velkej kritike a medializacii, ktoru by sme okolo toho vedeli vyvolat. co uz moze poskodit spolocnost viac, ako medializacia pripadu, ked jej bola oznamena tazka zranitelnost, pri ktorej moze dojst k odcudzeniu osobnych udajov uzivatelov webu a spolocnost miesto jej opravy poda zalobu. myslim, ze by si tym nijakym sposobom nepomohli. su to aktivne prostriedky na boj s takymto spravanim.
co ma celkom mrzi je, ze si vobec necital (alebo nepochopil, neviem) moje komentare. v nich som sa jasne vyjadril, ze by sme chceli na konci vytvorit 3 stupnove disclosure policy, v ktorych si kazda spolocnost urci, ako postupovat pri odhaleni zranitelnosti.
1) oznamovatel moze publikovat zranitelnosti a spolocnost ho prosi, aby sa zachoval podla tohoto kodexu a dal jej vopred vediet spolu s dostatocnym casom na opravu
2) oznamovatel nesmie zranitelnost publikovat pokym nie je odkomunikovana od spolocnosti, ktora zranitelnost opravi a da povolenie na publikaciu
3) spolocnost si nezela publikovanie zranitelnosti ako ani jej nahlasovanie
su to tri stavy, ktore je mozne bezne najst v zahranici. dalsiu vec, ktoru si tu absolutne opomenul je fakt, ze nase zakony nic take nezakazuju a teda si moze kazdy odpublikovat co chce vramci zakona. napriklad ako som uz spomenul, xss je chyba v interface webu a tam nie je mozne ani len sa priblizit k tomu, ze by sa to dalo pouzivat za hackerstvo. csrf je napriklad bezny standard podla rfc 2616, mna potom velmi zaujima, ako by si odkomunikoval na sude to, ze sice je to v skutocnosti standardne spravanie webu podla vydaneho dokumentu, ale ty si sa prave rozhodol, ze to je proste hackovanie. to by som si siel rad pozriet. problem bude u zranitelnost sql injection a lfi/rfi, ale aj s tymi sa da krasne pracovat bez toho, aby som cokolvek poskodil, ci aby na to ktokolvek kedy prisiel (pri testovani). tzn, ze pri pouziti spravnych vektorov, nedokazes opat hackovanie webu. a tak dalej. v teoretickej rovine vysvetlit zranitelnost moze ktokolvek a ak ta jednoducho uvedie ako priklad, hold smola. to je presne to, comu sa ty branis. je to jednoducho zakon a ten hovori jasne. nikdy ti v takomto pripade nedokazu umysel. screenshotmi si podlozis zranitelnosti a tym sa vyhnes uspesnemu obvineniu z ohovarania. end.
a prosim aj dalsich diskutujucich. o zdruzeni som vas informoval len ako o moznej alternative, neberte to ako zaveznu vec ci dokonca spajanie s tymito pravidlami. je to take nase malinke interne rfc, ako sa spravat pri objaveni zranitelnosti z moralneho hladiska. nie su to podmienky fungovania konkretnej osoby, skupiny osob, ci spolocnosti, jedna sa o vseobecny princip MORALNYCH pravidiel (ako uz podotkol Jozef Vyskoc). je mi jasne, ze som urobil chybu v tom, ze som informoval o pripadnych dalsich zameroch, slo mi vsak o dalsie zaujimave reakcie zo strany diskutujucich na takyto napad. nepripisujte tomu ziadnu vahu (aspon nie teraz). ak sa rozhodneme nieco take vytvorit, budeme v cas informovat a samozrejme osobitne odkomunikujeme.
Pripada mi to ako nejaka zlatanina a snaha o znovuobjavenie kolesa. Preco sa nepreberu zauzivane postupy zo zahranicia?
Kedze bolo v clanku povedane, ze Vas zaujimaju aj negativne hodnotenia, tak dufam, ze som tymto nikoho z Vas dvoch neurazil, nebolo to mojim cielom.
Dobry den,
niekde do textu by som doplnil este nasledovnu (alebo podobnu) vetu: Ohlasovatel bezpecnostneho nedostatku je povazovany za objavitela tohto nedostatku, avsak nemoze si od prevadzkovatela bezpecnostne nedostatocneho webu (sietovej sluzby…) narokovat ziadnu kompenziaciu (financnu, protisluzbu a pod.). Robite to predsa nezistne, ze? :-)
TimeLord: a to su ake? preco ich nenavrhnes? preco tu napises nezmyselny zvast a po nom napises ze nechces nikoho urazit? samozrejme, logicka negativna kritika je vyborna a pomaha, ty si vsak nic nenapisal, resp. nic zaujimave co by mohlo pomoct k vyvoju pravidiel.
Martin Gubas: asi si si nas s niekym pomylil. tieto pravidla nie su pre nas (teda nielen) ale pre vsetkych. ci to niekto robi zdarma alebo nie, to nedokazeme ovplyvnit a zaroven na to nemame pravo. mozno by to bolo fajn, ale ten clovek si musi sam zvazit, ci chce za to kompenzaciu, alebo nie. my mu mozeme len tazko povedat, co ma ziadat od danej spolocnosti. myslim, ze je to cele o komunikacii. ja som nikdy nic neziadal, staci sa opytat ktorejkolvek spolocnosti, s ktorou som komunikoval (okrem bank, s ktorymi sa nas rozhovor pohybuje v rozmedzi zaloba a sud).
Ked som to spravne pochopil, tak ten dokument ma byt akesi odporucanie pri najdeni bezpecnostnej diery? Podla toho co som cital, so zakonom to nema mat nic. Takato snaha sa ceni, no ja v tom nevidim ziadne uplatnenie, aspon zatial. Urobili ste nejaky dokument, od ktoreho ocakavate, ze by sa nim mala zaoberat cela komunita, hoci si samy uvedomujete nedostatky dokumentu. Zatial je to docela nevyuzitelne, kedze to (takmer) nikto neberie ako nejaky standard, no moze to byt dobry zaciatok pre vytvorenie “standardu”, ktory by postupne vytvarala znacna cast ludi a zdokonalovala ho.
Zatial ten dokument beriem ako nazor dvoch ludi na danu problematiku. Ked sa niekam niekto nabura a porusi “vase pravidla”, tak mu to bude uplne jedno, pretoze sa mu mozu zdat uplne ZBYTOCNE, NEUZNAVANE komunitou. Casom, po diskusiach, upravach a hlavne po zapojeni ovela vacsieho poctu ludi do tvorby to moze mat vyznam, no napad je to super.
JANciJ: aspon je vidiet ako pozorne citas, co tu je napisane. tento dokument sme sice napisali dvaja, ale davame ho sem na prediskutovanie verejnosti (komunite). momentalne ma nulovu hodnotu az do doby, ked sa prvy krat objavi na niektorom z webov, ktory sa bude nan odvolavat. k tomu povedie este dlha cesta a tu chceme vyslapat prave s dalsimi ludmi, ktori sa vyjadruju k nedostatkom dokumentu a dotvaraju tieto pravidla. to je zmyslom celeho tohoto clanku
Pocuj Rasto, nejaky si podrazdeny. Najskor tu napises “keby ste sa k nim vyjadrili, či už v negatívnom alebo pozitívnom zmysle” a ked sa vyjadrim v negativnom zmysle, tak tu do mna skaces, ze pisem zvasty. Tak sa skus prosim zamysliet, co vlastne chces. Napisal som Ti jasne, ze znovuobjavujete koleso. Mam snad reagovat na kazdu vetu v dokumente? Povazujem ho cely bohuzial za zlataninu. Napisal som to slusne a slusne som sa aj ospravedlnil, ze som tym nechcel nikoho urazit pre pripad, ze by si to vzal osobne tak ako si to aj vzal. Vdaka za moznost sa vyjadrit, pri takomto pristupe vsak radsej s akoukolvek diskusiou koncim s ponaucenim aj do buducna.
citanie prispevku #22 mi pripomenulo jeden strip:
http://xkcd.com/327/
inak tiez suhlasim s TimeLordom, ze je to cele nestastna zlatanina, ako som sa uz snazil jemne naznacit vyssie (read before you write, #2)
Nuz, ja som sa pytal co je v tom dokumente zle, nech navrhnete nejake ine riesenie. TimeLord, znovu objavujete koleso? To by ma celkom zaujimalo co si tym chcel povedat, ale ok.
Ak mate obaja pocit, ze viete prist s niecim lepsim, preco to neurobite? Jasne, ze som ta TimeLord napadol ze je to zlatanina, pretoze v tom texte nic konstruktivne nebolo. Keby si napisal dovod(y), nemam problem. Ale napisat je to zle lebo si to myslim ma nulovu hodnotu pre kohokolvek.
Matej aspon co to prihodil, ale stale si neprisiel s nicim, co by tomu dokumentu pomohlo. Kazdopadne, diky za komenatare, s kritikou nemam problem, len by som rad konstruktivnu o ktoru sa tu snazi dost inych ludi a nie ciste subjektivny nazor vyjadreny jednou vetou.
Prepac, nemam cas detailne to skumat a vytykat vsetky nedostatky jednotlivo. Na prvy pohlad sa jedna najma o to, ze je to velmi z pohladu “vs zly Azet” - zameriavas sa tam na blbosti typu obrazove dokazy atd, skratka dopredu ako keby si predpokladal, ze druha strana nebude spolupracovat.
Mam pre teba dalsie zaujimave citanie, tentokrat kompletne (nie studia casu), staci mierne aplikovat do nasich podmienok + prelozit. Ale aj bez toho sa da tym riadit uz hned teraz.
http://www.oisafety.org/guidelines/Guidelines%20for%20Security%20Vulnerability%20Reporting%20and%20Response%20V2.0.pdf
O znovuvynaliezani kolesa - skusim objasnit: Preco vymyslat “z brucha” a “from scratch” nieco, co uz niekto iny (aj ked v zahranici) vymyslel, a doviedol do pouzitelnej formy?
TimeLord - k otázke “Preco sa nepreberu zauzivane postupy zo zahranicia?” sa dá odpovedať asi nasledovne. “Disclosure policies” sú stavané na reportovanie chýb v SW a sú postavené na postupnosti 1. oznám chybu dodávateľovi SW 2. počkaj X dní 3. publikuj. V podstate aj “Prípad úniku štvrťmilióna e-adries z Azetu” bol riešený takýmto spôsobom … a mnohým sa to nepáčilo. Nepáčilo nie kvôli tomu, že niekto upozornil na bezpečnostný nedostatok, ale AKO na to upozornil. Nešlo o to, koľko dní oooo čakal kým to zverejnil, ale o to, že to prebehlo spôsobom, pri ktorom došlo k porušeniu súkromia ľudí, ktorých “previnenie” spočívalo len v tom, že boli klientami Azetu. Takže preto tá “zlátanina” - snaží sa aj navrhnúť spôsob, ako to zverejnenie zrealizovať tak, aby nedošlo zbytočne k poškodeniu práv a záujmov nezainteresovaných ľudí. Ak existuje “zaužívaný postup zo zahraničia”, ktorý rieši aj tento aspekt, sem s ním (linkom).
Matej - na pripomienku(#2) už bola odpoveď. Ako dlho čakať pred zverejnením, je na diskusiu - a tento dokument bol predložený na diskusiu. Aby sa bolo od čoho “odpichnúť”, bola tam uvedená nejaká lehota, ku ktorej sa samozrejme dá (a má) diskutovať. Diskusia je najlepšia vtedy, keď jej účastníci vyslovia vlastný názor … keď jej účastník len poukážu na autoritu niekoho iného (Rain Forest Puppy policy či pôsobivú teoretickú prácu, ktorá si kladie za cieľ “vytvoriť teoretický rámec”), tak potom sa sám degraduje na niekoho, kto nemá/nevie sformulovať vlastný názor… to nie je príliš konštruktívny prístup.
Matej (#31) - pekná referencia, z čiste praktického hľadiska si však myslím, že viac ľudí bude ochotných prečítať si 2 strany “zlátaniny” ako tých 20+ strán
matej: to co je v zahranici vymyslene je podlozene samozrejme zakonom, u nas to tak nie je. ako uz napisal Jozef Vyskoc, my nechceme urcit co je pravne urcitelne, ale legalne. ak prevezmes disclosure policy, mozes publikovat veci ako ti dovoluju pravidla. a to je aj pripad azetu, kde mi to zakon umoznil. v usa sa vsetci drzia zakonov a nejdu vobec nad ramec. u nas nie su a aplikovat nieco take je prakticky nemozne. u nas nie su ani jasne urcene veci, ako napriklad co znamena publikovanie. je to ked sa dokument da precitat bez akehokolvek zasahu, alebo ak je jeho text jasne viditelny v majoritnych prehliadacoch (programoch). proste tu chyba legislativa a treba niekde zacat.
Nerozumiem prečo komentáre píšeš už bez diakritiky. To, že sú negramotný návštevníci stránok by ti nemalo udávať krok. :P
Prepáč za off-topic.
popravde aj clanky by som kludne pisal bez diakritiky, keby som mohol (a nevadilo by to az tak). nejak som si nikdy nezvykol na hacky-carky.
Popravdě jsem to jenom prolítl. Základní kámen úrazu v tom pokusu o “standartizaci” postupu je ten, že celá iniciativa není na tom, koho se to týká. Zjednodušeně řečeno, ukážu někomu jak se dá vykrást jeho auto, i když on bude mít pocit, že ten systém co tam je je spolehlivý (do doby neř se o něj začnu zajímat).
Od toho tu máme zavedené firmy jako Secunia na jedné straně a například projekt Metasploit na druhé. Zákon bych do toho vůbec nepletl, je to ryze individuální. Komunikuju se Security firmama, u některých je tam vidět profesionální přístup, u jiných s prominutím na to serou neskutečně a kdybych byl na místě CEO, věděl bych hned konkrétní lidi, které bych hned vyhodil. A o tom celém to je, je to jen o lidech, pokud pošlete mail, nevíte kdo ho bude číst, jestli je to ten pravý a jestli by to někdo jiný ve firmě neřešil jinak. Potom je čistě jen subjektivní postoj, zda chcete někoho vykoupat, nebo celou firmu a nebo prostě se s tím smíříte.
Osobně nemám proti ani jednomu, chápu důvody. Nicméně praktikuju poslední metodu, protože nemám zájem dělat si nepřátele. A o tom to je hlavně.
Proto bych to v zásadě rozdělil na dva přístupy:
1) jde mi jen o mě, je mi jedno zda někoho poškodím, okradu na základě něčí chyby, chci z toho profitovat.
2) snažím se na věc upozornit, ale nechci nikomu dělat problémy, jde mi jen o to, aby to nezneužil člověk s přístupem číslo 1)
O tom to podle mě celé je. Samozřejmě ti s přístupem 1 jsou ti zlí a ti s 2 ti hodní :-P
Ještě jeden důležitý fakt, pokud se zveřejní chyba u programu, tak je to globální riziko a dá se tomu předejít na více úrovních:
Upgrade - změna nastavení systému - preventivní/represivní ochrana.
Kdežto konkrétní web rovná se konkrétní hrozba, která se týká právě toho webu a nikdo jiný než ten web to řešit nemůže a dotkne se to jen jich a jejich uživatelů.
Accuphose: nuz, asi si to nepochopil. my nemame pravo ani moznost niekomu nariadovat ako sa ma spravat, ale tymto dokumentom ho proste prosime, ze ak sa rozhodne publikovat zranitelnost, aby sa ho drzal. ak to urobi, po moralnej stranke bude ok. ked sa niekto rozhodne profitovat z objavenej zranitelnosti patri do black hat a vobec sa ho tento dokument netyka, takze neplet jablka a hrusky.
dalsou vecou je, kto komunikuje na druhej strane. preto je v tomto dokumente zakotvena podmienka pre spolocnosti, aby zverejnili email na zodpovednu osobu, ktora aspon ako tak rozumie tomu, co jej do mailu moze prist. asi si to skutocne cital velmi zle.
tie tvoje dva body su zle presne z toho dovodu, ze clovek cislo 1 nema nic spolocne s moralnym aspektom bezpecnosti. preto sa samotna security scena rozdelila na white, grey a black. my sa snazime presvedcit prvych dvoch, ze by mohol robit veci inak, nic ine v tom netreba hladat.
Já jsem pochopil o co vám jde, ale chtěl jsem tím jen říct, že ti co nemají morálku se tím řídit nebudou a ti co ji mají, tak se tím řídí už nějak podobně, může se to lišit v detailech. Celé to umírá na tom, že je to moc dlouhé…
Accuphose: nuz, ono je to prilis kratke. chyba tam kopec veci. a tym, ktorym ide o moralne a spravne nakladanie s bezpecnostou to nerobia vobec, pretoze sa boja, ze bude posramotena ich povest. mam dost takych kamaratov, ktori robia profi security audity, taki si nemozu dovolit zdiskreditovanie sameho seba.
ked bude existovat dokument, podla ktoreho sa budu vediet riadit, potom je to o niecom inom. budu aj oni prispievat k zlepsovaniu bezpecnosti a povedomia.
V tom případě by to chtělo něčím zaštítit, něco jako tohle třeba? (moc jsem to nestudoval)
http://www.owasp.org/index.php/Main_Page Zkrátka je těžké něco prosadit na blogu, když chceš aby to bylo nějaké standartní chování, ono je to vůbec složité.
Accuphose: OWASP je predsa o niecom uplne inom. Samozrejme, ze podporujem aktivitu OWASPU, kazdopadne, owasp nema nic spolocne s touto nasou inciativou.
Vůbec jsi mě nepochopil, já to vzdávám :-)
Accuphose: a co som mal pochopit? to ma celkom zaujima. preco to nevysvetlis tak, aby to pochopil uplne kazdy a nielen ty?
Myslím tím to, že pokud chceš něco prosadit, tak na to potřebuješ organizaci, je jedno jestli to je ISO nebo cokoliv, ale musí si to získat jméno a nějakou dobu to působit. Je to práce na plný úvazek určitě, bez toho to nemá šanci. V opačném případě to bude jen snaha pár lidí, která nebude mít žádnou váhu, idea může být sebelepší.
Taková organizace je například W3.org a přesto, že má svoji váhu, tak to celá čada lidí nerespektuje. Samozřejmě ti nechci brát iniciativu.
Accuphose: velka skoda ze necitas vsetky moje komentare. pisal som tam, ze sa podobnu orangizaciu chystame zalozit, ale chce to cas a niecim zacat. toto je zaciatok.
Omlouvám se, jak jsem psal, prolítnul jsem to, pokud je hodně komentářů, tak mě to odradí číst všechno, moje chyba.. Každopádně až to bude aktuální, rád si to projdu celé a pokusím se pomoct se zněním. Smlouvy jsou tak trochu moje libůstka. Možná tedy budu mít čím přispět, protože myšlenka to je určitě chvályhodná.
Accuphose: samozrejme, akakolvek organizacia bude len tretou stranou, ktora bude zabezpecovat komunikaciu a mozno navrhovat dalsie riesenia. inak nebude nahradzat tento, ani dalsie dokumenty. tie vznikaju mimo akukolvek organizaciu a to je nas zamer. aby sa nieco spustilo aj bez potrebny konkretnych osob. aby ked sa raz niekto rozhodne odist, aby to nezaniklo spolu s nim