BF
Какая разница блэчер-не блэчер
Size: a a a
2020 July 06
BF
Хотели бы реальную безопасность обеспечить, не багхантеров звали и не блэчеров бывших, а коммитили в открытые проекты для устранения сразу нескольких классов проблем
A
напомнили своими рассуждениями про блеков
I
Хотели бы реальную безопасность обеспечить, не багхантеров звали и не блэчеров бывших, а коммитили в открытые проекты для устранения сразу нескольких классов проблем
почему ты еще не работаешь CISO ?
BF
почему ты еще не работаешь CISO ?
Потому что мне проще раз в 2-3 месяца находить один баг, когда деньги заканчиваются, и паразитировать на этом. Лень)
I
ну такое, получать 500 долларов и жить на них 3 месяца
I
то ли дело 300к в секунду, крутой офис и порше
BF
Я в начале года побольше заработал, там явно не 500$)
S
а вот кстати, кому спится спокойнее, ciso в банке или блечеру? блечер то хотя бы знает, что ему не дает спать спокойно, а вот ciso не всегда🤔
MW
а вот кстати, кому спится спокойнее, ciso в банке или блечеру? блечер то хотя бы знает, что ему не дает спать спокойно, а вот ciso не всегда🤔
явно ciso, в худшем случае увольнение
BF
После исследований Джеймса Кеттла (он же albinowax) часть разрабов движков шаблонов пофиксила SSTI, определённые проекты даже request smuggling проблемам CVE присвоили. Вот это здравое поведение, которое оставляет гораздо меньше шансов эксплуатировать что-нибудь неправильно написанное или сконфигурированное. Если бы так было по умолчанию среди большинства, багхантеров бы не было. Но мне выгоднее будет найти одну ошибку конфигурации, чем коммит делать в проект, где её часто допускают. За коммит просто не заплатят
BF
Я себя считаю паразитом и не лучше индусов)
BF
а вот кстати, кому спится спокойнее, ciso в банке или блечеру? блечер то хотя бы знает, что ему не дает спать спокойно, а вот ciso не всегда🤔
Ciso вообще не спят по-моему, атаки 24/7 происходят, надо все подключения и процессы странные мониторить круглосуточно :р
S
явно ciso, в худшем случае увольнение
разве? административная же должность, гендир вот вплоть до уголовки вроде может влететь, a ciso?
MW
разве? административная же должность, гендир вот вплоть до уголовки вроде может влететь, a ciso?
блечеру нужно 1 дырку найти, а тебе N заклеить, N неизвестно.
На практике скиды не мапят инфраструктуру, да и для профи сложно. Если что-то техническое, то либо самонаписанное, либо мис-конфиг.
Если даже банк атакуют, то тут нужно IR нормально сделать. Блечерам сложно выйграть, когда на секьюрити деньги тратят
На практике скиды не мапят инфраструктуру, да и для профи сложно. Если что-то техническое, то либо самонаписанное, либо мис-конфиг.
Если даже банк атакуют, то тут нужно IR нормально сделать. Блечерам сложно выйграть, когда на секьюрити деньги тратят
S
Но при этом постоянно что то взламывают. Тут скорее не между блечерами и секьюрами войнушка, а гонка между секьюрами и разрабами, и вот в этой гонке обычно разрабы выигрывают, а уж там и блечерам недолго
KJ
MW
блечеру нужно 1 дырку найти, а тебе N заклеить, N неизвестно.
На практике скиды не мапят инфраструктуру, да и для профи сложно. Если что-то техническое, то либо самонаписанное, либо мис-конфиг.
Если даже банк атакуют, то тут нужно IR нормально сделать. Блечерам сложно выйграть, когда на секьюрити деньги тратят
На практике скиды не мапят инфраструктуру, да и для профи сложно. Если что-то техническое, то либо самонаписанное, либо мис-конфиг.
Если даже банк атакуют, то тут нужно IR нормально сделать. Блечерам сложно выйграть, когда на секьюрити деньги тратят
багхантеры вообще другое дело, как в статье сказанно, блечер изучает что сейчас актуально и деньги приносит, и не будет искать клиджекинг / self-xss
MW
Чегось?) мне лень спорить над тезисами ископаемой статьи))
почему вы думаете, что бывшых блечеров не бывает?
S
а есть еще охота на сотрудников, соц инженерия, подкуп сотрудников, подкидывание флешек, и другие методы влияние на человека, а не чисто технический взлом