The State of Denial

Технологии
Блогосфера
Sean Brian Townsend
11 декабря 2019, 09:53
На днях проходила конференция по безопасности UISGCon, а я болел и не смог на неё попасть, а там, как рассказывает Kostiantyn Korsun было много интересного.

Вот тут я просто взвыл от восторга: Yurii Kozlov (ДП НАІС) «Ви з вашим #FRD вже усіх задовбали, ніхто на нього вже не звертає уваги. Вам треба робити це з більшою повагою», «змініть тон, вас сприймають як толпу тролів». Хорошо, правда?

"Первое правило признания уязвимостей: нет никакого признания" Для того, чтобы какие-то "цивилизованные формы" взаимодействия с невменяемой госухой работали, нужна угроза. Для того чтобы responsible disclosure работал, нужен full disclosure, иначе можно годами ныть как Женя Докукин: "посмотрите на 1321 обосравшегося мудака, который срет себе в тарелку". И всем по бубну конечно же.

Потому, любого обосрашегося мудака нужно тут же назвать обосравшимся мудаком. Он вам должен, не вы ему, а своё "я начальник ты дурак" пусть засунет себе в жопу. Альтернатива публичным унижениям - прямое действие.

Одной из самых ярких акций (и полезных в плане безопасности) была #AntiSec, шоковая терапия ФБР по пятницам и подачи в частные развед. конторы с ноги - волшебно просто. Не разделяя левацкую идеологию #Anonymous, невозможно не признать, что именно так и должно выглядеть прямое действие, только так. Чтобы говно из подгорающих свиней било фонтаном. А #FRD очень мягкая, и душевная акция, чтобы госушенькую нашу утютюшеньку не утетешкать в кровавые сопли, а то она бедненькая кушанькать не сможет личиком своим обидчивеньким.

У меня новая идея появилась. У разработчиков есть такой способ обходить копирайт на проприетарный софт, называется чистая комната ("clean room"). Одна команда софтину реверсит и пишет описание, как оно должно работать, а вторая команда пишет софт с нуля, чтобы в новом софте не было никаких заимствований даже случайно. Очень полезное изобретение, которое можно применить в процессе вскрытия уязвимостей.

Раз троллинг не работает, и госюшка-душечка хочет, чтобы её в розвовенькую попочку цьомкали, то можно сделать хакерский аналог "чистой комнаты". Такой себе #GloryHole и #DoublePenetration в одном, гм... лице. Дыру находит один человек, публикует второй, и распространяет на хакерских площадках. Конечно же с предупреждением, что втручання в роботу ЕОМ карається за законом, а если уж на страже стоит CERT-UA, семь киберцентров и система защищена КСЗІ, то хакеры все просто разбегутся в ужасе.

А вы как думаете? Как вам идея?