tag:blogger.com,1999:blog-2646441152970001642.post5959250904601653193..comments2024-03-11T00:12:49.555-07:00Comments on В тему и offtopic: Всех пентестиров посодют?Sergey Gordeychikhttp://www.blogger.com/profile/12394785315671457548noreply@blogger.comBlogger24125tag:blogger.com,1999:blog-2646441152970001642.post-21526668727091645342022-12-02T23:17:15.534-08:002022-12-02T23:17:15.534-08:00สำหรับผู้ที่ชื่นชอบภาพยนตร์ และผู้ชมทุกท่าน ที่ชื่...สำหรับผู้ที่ชื่นชอบภาพยนตร์ และผู้ชมทุกท่าน ที่ชื่นชอบ ดูหนังฟรีออนไลน์ ซีรีย์ที่ชื่นชอบในการรับชมภาพยนตร์ ซีรีย์ ดูซีรีย์ออนไลน์ อัพเดทใหม่ตลอดทั้งเดือน ดูหนังฟรีออนไลน์https://movie999.net/noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-77569942354218801772022-04-27T08:42:21.465-07:002022-04-27T08:42:21.465-07:00This site is very good 100รับ100ล่าสุดThis site is very good <a href="https://megagame168.com//%E0%B8%9A%E0%B8%97%E0%B8%84%E0%B8%A7%E0%B8%B2%E0%B8%A1/%E0%B9%82%E0%B8%9B%E0%B8%A3%E0%B8%9D%E0%B8%B2%E0%B8%81100%E0%B8%A3%E0%B8%B1%E0%B8%9A200-%E0%B8%96%E0%B8%AD%E0%B8%99%E0%B9%84%E0%B8%A1%E0%B9%88%E0%B8%AD%E0%B8%B1%E0%B9%89%E0%B8%99pg/" rel="nofollow">100รับ100ล่าสุด</a> Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-83282702505534415342022-04-05T23:48:44.524-07:002022-04-05T23:48:44.524-07:00Play free bonus with online slots. mega game 789Play free bonus with online slots. <a href="https://nine-slots.com/articles/mega-game-789/" rel="nofollow"><b>mega game 789</b></a>Fishermanhttps://www.blogger.com/profile/03203501120673261312noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-41584576965133792052022-03-30T03:18:07.997-07:002022-03-30T03:18:07.997-07:00Thanks for the post mega168 gameThanks for the post <a href="https://megagame168.com" rel="nofollow"><b>mega168 game</b></a>Ananhttps://www.blogger.com/profile/05438423778316368910noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-17026954709411271222022-03-30T03:15:56.331-07:002022-03-30T03:15:56.331-07:00Thanks for the post ลองเล่นสล็อตฟรี pgThanks for the post <a href="https://megagame168.com/%e0%b8%97%e0%b8%94%e0%b8%a5%e0%b8%ad%e0%b8%87%e0%b9%80%e0%b8%a5%e0%b9%88%e0%b8%99%e0%b8%aa%e0%b8%a5%e0%b9%87%e0%b8%ad%e0%b8%95/" rel="nofollow"><b>ลองเล่นสล็อตฟรี pg</b></a>Ananhttps://www.blogger.com/profile/05438423778316368910noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-29130227321668046242022-03-30T03:13:50.865-07:002022-03-30T03:13:50.865-07:00Thanks for the post สล็อตเครดิตฟรี 100 ไม่ต้องแชร์...Thanks for the post <a href="https://megagame168.com/%e0%b8%9a%e0%b8%97%e0%b8%84%e0%b8%a7%e0%b8%b2%e0%b8%a1/%e0%b8%aa%e0%b8%a5%e0%b9%87%e0%b8%ad%e0%b8%95%e0%b9%80%e0%b8%84%e0%b8%a3%e0%b8%94%e0%b8%b4%e0%b8%95%e0%b8%9f%e0%b8%a3%e0%b8%b5-100-%e0%b9%84%e0%b8%a1%e0%b9%88%e0%b8%95%e0%b9%89%e0%b8%ad%e0%b8%87/" rel="nofollow"><b>สล็อตเครดิตฟรี 100 ไม่ต้องแชร์</b></a>Ananhttps://www.blogger.com/profile/05438423778316368910noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-63302088539793086852010-01-02T12:16:51.318-08:002010-01-02T12:16:51.318-08:00разработка технологии разработка сайтов http://web...разработка технологии <a href="http://web-miheeff.ru" rel="nofollow">разработка сайтов</a> http://web-miheeff.ru разработка технологииAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-78704947169378017292010-01-01T02:15:21.149-08:002010-01-01T02:15:21.149-08:00методические разработки разработка сайтов http://w...методические разработки <a href="http://web-miheeff.ru" rel="nofollow">разработка сайтов</a> http://web-miheeff.ru методические разработкиAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-48005141092608772302009-10-01T00:43:20.769-07:002009-10-01T00:43:20.769-07:00С антивирусами более-менее понятно.
Скажем, как бы...С антивирусами более-менее понятно.<br />Скажем, как быть, когда осуществляется проверка веб-ресурса. Действия пентестера могут нарушить договор заказчика и хостера, тогда хостер может подать иск. Таким образом пентестер или заказчик должен еще и согласовывать свои действия, а то и заключать соглашения-договоры с ним.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-53110757275106636262009-09-07T03:01:38.391-07:002009-09-07T03:01:38.391-07:00Чем дальше в лес, тем толще партизаны.
Тут гораздо...Чем дальше в лес, тем толще партизаны.<br />Тут гораздо интересней дело заварилось. "Под статью" подтягивают не только пентестеров но и вообще аудиторов. Всех. Не только "безопасных" :)Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-42539636004175354112009-09-06T23:34:16.278-07:002009-09-06T23:34:16.278-07:00Ну вот и дсек подтянулся:
http://pcidss.ru/blog/24...Ну вот и дсек подтянулся:<br />http://pcidss.ru/blog/24.html<br />Ситуация становится всё более и более интересной.Pentohttps://www.blogger.com/profile/17366441461174687940noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-38331171806004786572009-09-03T02:49:35.202-07:002009-09-03T02:49:35.202-07:00Ну, и раскрытие уязвимостей это вопрос исключитель...Ну, и раскрытие уязвимостей это вопрос исключительно этический. А когда речь идет о деньгах, то этика обычно отодвигается на второй план. Вернее взвешивается стоимость этичного поведения :) и результат чаще не в пользу этики.nghtfhttps://www.blogger.com/profile/07770882656310297414noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-49291138958726017882009-09-03T02:33:23.269-07:002009-09-03T02:33:23.269-07:00Вредоносным будет считается то средство, которое к...Вредоносным будет считается то средство, которое как "вредоносное" указал эксперт, в ходе судебной экспертизы. Разве не так? Если кто-то вокруг считает что-то вредоносным, то это не значит, что его мнение будет принято в суде. Например, многие господа, считают ПО Microsoft вредоносным, причем в государственном масштабе.<br /><br />Возвращаясь к теме публикации: "посодют" всех кого будет надо, это, на мой взгляд, очевидно. А вопросы соответствия нормам законодательства, как верно указано в конце статьи, будет решаться в индивидуальном порядке каждым, как и все подобные вопросы.nghtfhttps://www.blogger.com/profile/07770882656310297414noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-27562196897651998772009-09-03T01:56:01.794-07:002009-09-03T01:56:01.794-07:00Dmitry Evteev пишет...
>нтивирусные компании м...<b>Dmitry Evteev пишет...</b><br /><br />>нтивирусные компании могут считать любую программу "вредоносной" (на их усмотрение)<br /><br />Верно!<br /><br />>а в судебном порядке вредоносной программой будут считать программу в соответствии с приведенном выше определением<br /><br />Не верно! В соответствии с мнением антивирусных компаний :)Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-11095170941895381062009-09-03T01:53:53.045-07:002009-09-03T01:53:53.045-07:00>Доло не в легальном использовании в РАЗРАБОТКЕ...>Доло не в легальном использовании в РАЗРАБОТКЕ !!!<br /><br />Дело не в разработке, а в критериях вредоносности. О чем я тут на нескольких страницах и растекаюсь.Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-91364828968499723002009-09-03T01:53:01.828-07:002009-09-03T01:53:01.828-07:00>http://vazone.ru/wordpress/?p=221
>http://v...>http://vazone.ru/wordpress/?p=221<br />>http://vazone.ru/wordpress/?p=253<br /><br />Собственно эта практика за уши к случаю притянута, поскольку тут есть факт ущерба.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-15822973521531363942009-09-03T01:04:55.993-07:002009-09-03T01:04:55.993-07:00Доло не в легальном использовании в РАЗРАБОТКЕ !!!...Доло не в легальном использовании в РАЗРАБОТКЕ !!!<br /><br />Вот Вам практика:<br />http://vazone.ru/wordpress/?p=221<br />http://vazone.ru/wordpress/?p=253<br />И потом в случае проблем никто рассматривать договор не будет...<br />По аналогии если что то травонулся в кафе - никто не будет принимать во внимание договор между кафе и посетителем о том, что посетитель предупрежден что может травануться !!!Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-49760965320131671192009-09-03T00:52:39.866-07:002009-09-03T00:52:39.866-07:00так... откатываемся вновь к блогу infowatch: http:...так... откатываемся вновь к блогу infowatch: http://forensics.ru/ras_tolkovanie.html#definition<br /><br />Вредоносной следует считать программу для ЭВМ, объективным свойством которой является её способность осуществлять неразрешённые обладателем информации уничтожение, блокирование, модификацию либо копирование этой информации или неразрешённые оператором информационной системы нарушения работы этой информационной системы (ЭВМ, системы ЭВМ или их сети), причём, те и другие действия – без участия и без предварительного уведомления вышеуказанных субъектов.<br /><br />Следовательно, антивирусные компании могут считать любую программу "вредоносной" (на их усмотрение), а в судебном порядке вредоносной программой будут считать программу в соответствии с приведенном выше определением.Dmitry Evteevhttps://www.blogger.com/profile/09725085293961196071noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-70634125893480888522009-09-02T22:44:34.095-07:002009-09-02T22:44:34.095-07:00>? Ведь тот же метаслоит, вернее экплоит из его...>? Ведь тот же метаслоит, вернее экплоит из его набора<br /><br />Если экплойт из метасплойта будет классифицирован антивирусной компанией как вредоносное ПО, тогда пентестер - уголовник :)Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-45142909856360446902009-09-02T22:35:31.029-07:002009-09-02T22:35:31.029-07:00>И тут проблема не между и между а в общем...
...>И тут проблема не между и между а в общем...<br /><br />Если спустится с горних высот, то в реальной жизни конфликт именно между и между может привести к практическому обнаружению некоторых несоответствий в законодательстве.Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-85252262673634073112009-09-02T22:10:48.236-07:002009-09-02T22:10:48.236-07:00Цитирую обсуждение. Источник:
http://www.securebl...Цитирую обсуждение. Источник:<br /><br />http://www.secureblog.info/articles/548.html#comments<br /><br /><b>Aleks</b><br />прочитал.<br />ничего, что я тут отвечу ?<br /><br />мне кажется, что ты рассматриваешь довольно уникальную ситуацию. ну ок, нашел пентестер уязвимость антивируса, отпенетрейтил заказчика, указал ему на брешь ... и ? дальше то что ? если пентестер не уведомляет ав-вендора и тот, соответственно, не закрывает багуP то что делать заказчику ? на дыру ему указали, а метод решения проблемы где ? переход на другой ав ? это влечет за собой новый тест с потенциально вытекающими последствиями описанными выше.<br />так что для пентестера вариант "сообщить ав-вендору" — наверное все-таки единственный.<br /><br /> <br /><b>Ego1st</b> <br />а что заказчик сам не может сообщить ав-вендору?<br />вообще с точки зрения логики бред какой-то получается, насколько знаю пентестеры довольно подробно пишут чего делать будут в системе и если заказчик согласен со всем этим, независимо от того к каким последствиям это приведет, обвинять потом пентестера идиотизм..<br />Это что же получается такое что если я дом накодю чего-нибудь типа радмина поставлю на все свои машины, и потом раздам еще друзьям, меня посадить могут за то что я создал и распространил, и не сертифицировал данную утилиту?<br /> <br /><b>gordey</b><br />>а что заказчик сам не может сообщить ав-вендору?<br /><br />В реальности disclosure приходится отрабатывать самим, потому как это мутная процедура.<br />Вот примеры:<br />http://www.securitylab.ru/lab/<br /><br />>заказчик согласен со всем этим, независимо от того к каким<br />>последствиям это приведет, обвинять потом пентестера идиотизм..<br /><br />Угу. Но как я писал — конфликт не между заказчиком и пентестером.<br /><br />>Это что же получается такое что если я дом накодю<br />>чего-нибудь типа радмина поставлю на<br /><br />Легко, особенно если она разойдется и её воспользуется кул-хацкер. Она попадет в антивирусные базы как вредоносная и будет "оружием преступления". А ты — создателем и распространителем.<br /><br />Думаешь зря 3APA3A бучу поднимал в свое время? Ибо Ахтуг!<br />http://securityvulns.ru/articles/antiantivirus2.asp<br /><br /> <br /><b>gordey</b><br />Есть вещи которые не закрываются — например "втакабельность" пользователей во всякую бяку. Фоновый процент, который остается — около 10% сотрудников. Что бы ты не делал. То же самое и с антивирусами (и другими темами) — всегда есть что-то, что не закрывается.<br />Вопрос затрат атакующего и приемлемости риска для заказчика.<br />Ну и естественно трудозатрат пентестера.<br /><br />Давай приведу конкретный пример:<br />В тулзы а-ля MetaSploit, Canvas, Core Impact входит так называемый backend, который по сути — ничего себе троян с функциями руткита. Последний Canvas даже backchannel между VmWare и Host организует.<br />Детектируются ли они антивирусами? Если вы их поймаете in-the-wild — включите детект в продукт? Если да, то фактически вы повесите этим производителям обвинение, поскольку текущий практический критерий "вредоносности" это детект продукта антивирусом.<br /><br /><b>Aleks</b><br /><br />"Детектируются ли они антивирусами? Если вы их поймаете in-the-wild включите детект в продукт?"<br /><br />слушай, ну все решаемо :) с тем же Заразой я лично давным-давном решал аналогичный кейс с 3proxy. Нормально договорились, что все что сделано им лично (непакованный PE и присланный им нам) — мы детектим как not-a-virus, все остальное — как трояны.<br />А уж как мы с RAdmin такие вопросы решали и что там было — ого-го-го... увы, разглашать не могу. Но решаемо все.<br /><br /><b>gordey</b><br />>слушай, ну все решаемо :)<br /><br />Конечно! Сам не раз MaxPatrol и XSpider из антивирусных баз "вычищал".<br />Это я контент генерирую, чтобы потом на дурацкие вопросы просто ссылку давать.Sergey Gordeychikhttps://www.blogger.com/profile/12394785315671457548noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-54265641735397232362009-09-02T15:45:37.237-07:002009-09-02T15:45:37.237-07:00какой там метасплоит...
всех посадют за telnet %))...какой там метасплоит...<br />всех посадют за telnet %))Dmitry Evteevhttps://www.blogger.com/profile/09725085293961196071noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-1135687498963536642009-09-02T10:05:02.664-07:002009-09-02T10:05:02.664-07:00Ох уж, это российское законодательство. И всё же. ...Ох уж, это российское законодательство. И всё же. Взять ту же кору или метаслоит. <br />Все действия согласованы с Заказчиком. в договоре всё указано. Что может грозить пентестеру? Ведь тот же метаслоит, вернее экплоит из его набора, эксплатирует уязвимость в системе...Pentohttps://www.blogger.com/profile/17366441461174687940noreply@blogger.comtag:blogger.com,1999:blog-2646441152970001642.post-81370328693790218142009-09-02T06:24:42.583-07:002009-09-02T06:24:42.583-07:00Пентестеру приходится использовать реальные средст...Пентестеру приходится использовать реальные средства - для повышения достоверности. Вопрос не в том, что он их по договору использует - вопрос ОТКУДА ОН ИХ ВЗЯЛ/разработал...<br /><br />И тут проблема не между и между а в общем... На мой взгляд необходимо этот вид деятельности отдельно регулировать.<br /><br />Но и тут проблема - он - пентестер, собака такая, держит базу, улучшает методы...<br /><br />И любви нет и выгнать нельзя !!! (с) swanAnonymousnoreply@blogger.com