mboost-dp1
Perrep (1) skrev:Man skulle næsten tro at de er lidt bange for anon...
Det har næppe noget specifict med Anon "hacker" grupperne at gøre. Det er en sikkerheds og PR ting. Tænk bare på de shitstorms som de seneste "ups, vi er blevet hacket og jeres private oplysninger er offentlige nu" historier har medført sig.
Tror faktisk også at de indtjener deres rewards igen i form af mere reklame, og mindre damage control.
Hold nu op... Facebook er en millard-virksomhed, og at smide 200.000,- kroner efter hackere, for at finde fejl, er jo en ren hån. Eksperter på området koster nok 200.000,- om måneden, og FB er bare for nærig til at betale for en sådan konsulentydelse.
Hvis hackerne VIRKELIG ville tjene penge, så skulle de bruge svaghederne og sælge dem til lyssky personer. Det er der penge i. Men at få 2.500,- for at redde røven på FB, er jo helt til grin.
Set i forhold til, at FB ville tabe millioner om dagen, hvis siden blev lagt ned, så er det jo som at kaste brødkrummer til folk, der faktisk gør dem en stor tjeneste.
Hvis hackerne VIRKELIG ville tjene penge, så skulle de bruge svaghederne og sælge dem til lyssky personer. Det er der penge i. Men at få 2.500,- for at redde røven på FB, er jo helt til grin.
Set i forhold til, at FB ville tabe millioner om dagen, hvis siden blev lagt ned, så er det jo som at kaste brødkrummer til folk, der faktisk gør dem en stor tjeneste.
#3 Hvem siger at konsulenterne er lige så gode? Hackere formår jo at komme ind alle mulige steder alligevel? På den her måde, så opnår facebook god publicity, fordi folk læser nyheder som denne, og de får, som du selv siger, løst det på en billigere måde.. Facebook er også en virksomhed, så hold op med at tude.. Virksomheder profitmaksimerer, og sådan er det..
Forskellen er vel også at en hacker "bare" skal findes hullet, en konsulent skal vel også komme med løsningen på problemet?
Så selvom 2500 kroner ikke er mange penge, så stopper udgiften vel ikke for FB der når de skal lappe hullerne.
Så selvom 2500 kroner ikke er mange penge, så stopper udgiften vel ikke for FB der når de skal lappe hullerne.
Alt andet end lige må det da også være bedre, at hackerne vælger at tjene på deres "hobby" og udvikle deres skills ved at tjene lidt ekstra.
Og der findes bare folk der ude som tænker på en helt anden måde end sikkerhedsfolk på disse områder. Nok også derfor det før er sket at hackere er blevet tilbudt jobs, for f.eks. antivirus firmaer eller lign.
Og der findes bare folk der ude som tænker på en helt anden måde end sikkerhedsfolk på disse områder. Nok også derfor det før er sket at hackere er blevet tilbudt jobs, for f.eks. antivirus firmaer eller lign.
Man kan se på følgende tre "handlinger":pippithehippie (7) skrev:Forskellen er vel også at en hacker "bare" skal findes hullet, en konsulent skal vel også komme med løsningen på problemet?
- Find hullet
- Udnyt hullet
- Luk hullet
Og så kan man prøve at vurdere hvor meget arbejde der ligger i hver af dem.
At finde hullet tager nærmest ingen tid, hvis man kigger det rigtige sted og ved hvordan et hul ser ud. Det største problem er det der med det rigtige sted.
At kigge en stor mængde kode igennem systematisk er enormt kedeligt, og man vil have en tendens til at blive mindre omhyggelig undervejs. Nogen man sidder midt i den store mængde kode kan man være meget uopmærksom og nemt overse et hul.
Til gengæld har jeg fundet mange huller i tidens løb, flere af dem hvor jeg overhovedet ikke ledte efter noget hul, jeg kom bare tilfældigvis til at kigge der hvor hullet var.
Når man har fundet et hul kan man så enten prøve at udnytte det eller prøve at lukke det.
Er hullet en implementationsfejl kræves der ofte blot en enkelt linie kode til at rette den. Den slags huller kan være meget nemme at rette. Har man allerede en fornuftig procedure for at udrulle en opdatering ligger der ikke ret meget arbejde i at lukke sådan et hul.
Er der derimod tale om en designfejl er det mere besværligt at lukke. Nogle gange er det forholdsvis nemt at justere designet for at lukke hullet. Andre gange prøver man på at snakke sig ud af problemet. Man kan prøve at argumentere for at der ikke er et hul i ens system og det i virkeligheden er fordi der er nogen der bruger systemet forkert og det er dem der bruger systemet forkert der har begået en fejl. Nogle gange vil man se en diskussion om hvorvidt det er websitet eller browseren der har et sikkerhedshul. Det er over 10 år siden det første gang blev foreslået at webbrowsere skulle opføre sig anderledes for at undgå XSRF sikkerhedshuller. Der er stadigvæk massevis af sites med kæmpe XSRF huller (inklusiv newz.dk så vidt jeg kan forstå på en anden tråd på forumet), og jeg kender ikke til en eneste browser der forsøger at undgå det ved at udelade cookies fra cross-site requests.
Hvad angår udnyttelse af hullet kan det være meget nemt. Nogle XSRF huller kan udnyttes ved blot at smide et enkelt img tag med en ondsindet URL på sin webside.
Andre huller kan være overordentligt komplicerede at udnytte. Denne artikel beskriver det mest komplicerede angreb jeg nogensinde har set beskrevet for at udnytte et enkelt hul: http://www.phrack.org/archives/57/p57_0x08_Vudo%20...
Der er altså stor variation både i hvor nemt det er at rette et hul og i hvor nemt det er at udnytte.
I den ene ende af skalaen har vi ting som XSRF som ofte er meget nemme at udnytte men som er stort set umuligt at løse generelt. Hvert enkelt hul kan forholdsvis nemt lukkes på sitet, men der er mange sites og mange huller.
I den anden ende har vi ting som den syslog bug som var ret nem at lukke, men som krævede et dybt kendskab til platformen og meget kode for at udnytte.
@5 - lol
Ja, det er da smart at spare penge... Og ang. hvem der siger at konsulenterne er lige så gode... Well, man må jo gå ud fra at FB godt kan vælge nogle med en god baggrund. F.eks. tidligere hackere... Mange verdenskendte hackere arbejder som konsulenter (efter endt straf). Så ja, det er smart økonomisk, og hvis folk gør det for sportens skyld, så fint... Men det virker nærigt i forhold til værdien af FB.
(Skulle du nu quin, få lyst til at slynge en ny udtalelse ud, om at "lade være med at tude" som du griber ud af den blå luft, så gør det endelig. Hvis du får det bedre, så benyt dig af muligheden. Fiktive og aldeles uden for kontekst-ytringer som disse, rammer mig ikke, men underholder en del. :)
Ja, det er da smart at spare penge... Og ang. hvem der siger at konsulenterne er lige så gode... Well, man må jo gå ud fra at FB godt kan vælge nogle med en god baggrund. F.eks. tidligere hackere... Mange verdenskendte hackere arbejder som konsulenter (efter endt straf). Så ja, det er smart økonomisk, og hvis folk gør det for sportens skyld, så fint... Men det virker nærigt i forhold til værdien af FB.
(Skulle du nu quin, få lyst til at slynge en ny udtalelse ud, om at "lade være med at tude" som du griber ud af den blå luft, så gør det endelig. Hvis du får det bedre, så benyt dig af muligheden. Fiktive og aldeles uden for kontekst-ytringer som disse, rammer mig ikke, men underholder en del. :)
Apropos konsulent-hackere, serveret med god humor...
http://www.colbertnation.com/full-episodes/thu-aug...
http://www.colbertnation.com/full-episodes/thu-aug...
Men hvorfor betale 200k om måneden for én person til at finde huller, når man kan få 100 (jaja, tal hevet ud af ærmet) til at gøre det for det samme beløb?lindysign (3) skrev:Hold nu op... Facebook er en millard-virksomhed, og at smide 200.000,- kroner efter hackere, for at finde fejl, er jo en ren hån. Eksperter på området koster nok 200.000,- om måneden, og FB er bare for nærig til at betale for en sådan konsulentydelse.
At firmaer som Facebook har sådan en ordning her kan jeg overhovedet ikke se noget problem i. Det er med til at styrke sites og dem der hjælper til får en skilling for det.
Absolut enig. Når man nu tænker på hvor mange huller der bliver fundet ved en tilfældighed af personer som blot ved hvordan et hul ser ud når de ser det, så er det da en klar fordel hvis de personer på det tidspunkt ved at der er penge at få.Magten (12) skrev:At firmaer som Facebook har sådan en ordning her kan jeg overhovedet ikke se noget problem i. Det er med til at styrke sites og dem der hjælper til får en skilling for det.
I de fleste tilfælde vil virksomheder håndtere det komplet uprofessionelt hvis man påpeger et hul. Tidligere har det været sådan at man i bedste fald fik en officiel tak for at have påpeget hullet samtidig med at virksomheden udsendte en rettelse. I værste fald vælger virksomheden at ignorere henvendelsen om hullet og i stedet sagsøge personen der fandt hullet og gjorde opmærksom på det når nogen begynder at misbruge det.
I de fleste tilfælde er henvendelserne blot blevet ignoreret. Den type opførsel fra virksomhedernes side er skyld i at jeg sjældent har gidet gøre noget hvis jeg fandt et hul. Hvis man får en kontant belønning for at rapportere et hul, så er det da med til at overvinde min mangel på lyst til at rapportere det. Der skal ikke ret mange penge til for at jeg vil rapportere et hul når jeg nu alligevel har fundet det.
Hvis man får penge for det er der nok større chance for at virksomheden også retter hullet. Og hvis de alligevel skulle lade hullet stå åbent, så kan pengene hjælpe lidt på følelsen af at have spildt tiden.
Næste gang jeg ser en af de mange vira der spreder sig på facebook har jeg i hvert fald tænkt mig at undersøge om den udnytter et XSRF hul eller lignende, for hvis der er en chance for at få penge ud af det, så er det da tiden værd. Desværre skal det nok vise sig at den spredte sig fordi personen var for dum, men så kan jeg da i det mindste sige til personen at jeg er gået glip af så mange penge fordi høn er så dum.
Hvis man er i stand til det, så er man hardcore.timeless (14) skrev:Ellers skal man finde hullet komme med en løsning til hullet og bagefter udnytte løsningen ;)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund