Címlap

A "biztonsági kutató" újradefiniálása

 ( trey | 2010. április 27., kedd - 14:05 )

Gyakori vitatéma és megoszlanak a vélemények arról, hogy hogyan kellene közölni a biztonsági sebezhetőségekről szóló információkat. A Verizon biztonsági blogja most a saját meglátását közölte a témában. A blog felteszi a kérdést, hogy hallott-e már valaki "rombolási mérnök"-nek hívni egy terroristát, vagy "zárlakatos"-nak hívni egy tolvajt? Nem. A blog szerint ez azért van, mert más területeken - ellentétben az infosec iparággal - képesek megkülönböztetni a jó fiúkat a rossz fiúktól. Úgy tűnik, hogy egyszerűbb az információ biztonsággal foglalkozó iparágban "biztonsági kutatónak" nevezni mindenkit, függetlenül attól, hogy mit tesz az illető, milyen a viselkedése. Gyakran olvasható a szalagcímekben, hogy a "biztonsági kutató feltörte ezt", vagy a "biztonsági kutató felfedte azt". A Verizon blogja szerint itt az idő tisztába tenni a fogalmakat, pontosabban meghatározni, hogy éppen kiről is van szó. Éppen ezért a Verizon Risk Intelligence új fogalmakat vezet be a kommunikációjában:

  • Security Researcher (biztonsági kutató): Olyan személy, aki azt tanulmányozza, hogy hogyan lehetne a dolgokat biztonságosabbá tenni és/vagy a dolgok miért nem biztonságosak. Teszi ezt annak érdekében, hogy megoldást találjon.
  • Security Practitioner (biztonságot gyakorlatban alkalmazó): Olyan személy, aki a biztonsági kutató által találtakat gyakorlatban alkalmazza annak érdekében, hogy dolgokat még biztonságosabbá tegye.
  • Narcissistic Vulnerability Pimp (önimádó sebezhetőség strici): Olyan személy aki - kizárólag saját egójának fényezésére, dicsőítésére, kielégítésére – kárt okoz az üzleti szférának és a társadalomnak azáltal, hogy felelőtlenül olyan információkat közöl, amelyek a dolgokat kevésbé biztonságossá teszik (illetve növelik a rizikót).
  • Criminal (bűnöző): Olyan személy, aki aktívan, engedély nélkül árt a biztonságnak, vagy szándékosan megteremti a módját annak, hogy mások ezt tehessék.

A blog felkéri azokat, akik belefáradtak már abba, hogy nézzék, ahogy a "bűnözők" megpróbálják magukat legitimként beállítani, hogy csatlakozzanak hozzájuk abban, hogy megkülönböztetik őket az igazi biztonsági kutatóktól.

A részletek itt. A H Security megpróbálta elemezni, hogy mire gondolt a blog szerzője.

 »
  • A hozzászóláshoz belépés szükséges
  • 2535 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( ironcat | 2010. április 27., kedd - 15:02 )

Röviden és egyszerűen:
Security Researcher: A felfedezett biztonsági réseket csak a szoftver gyártójával/készítőjével közli.
Security Vulnerability Pimp: A felfedezett biztonsági réseket nyilvánosságra hozza.
Criminal: A felfedezett biztonsági réseket saját céljaira felhasználja, vagy másoknak -- ugyanilyen célból -- átadja az információt.

Tehát csak a folyamat végén dől el, hogy melyik kategóriába kerül a biztonsági rés felfedezője. A Security Practitioner kilóg a sorból, mert ő maga nem keres biztonsági réseket, viszont mindenki, aki telepíti a biztonsági frissítéseket, ebbe a kategóriába tartozik.

-----
Innen most töltsünk tiszta vizet a nyílt kártyákba: ...

 ( nextar | 2010. április 27., kedd - 15:24 )

Azt hogy hívjuk, amikor a szoftver gyártója több év alatt sem javítja ki a csak neki bejelentett hibát és ekkor a felfedező nyilvánosságra hozza?

Ja, tudom MS vs. szemét "hekker".

 ( 54ny7 | 2010. május 17., hétfő - 12:33 )

"Olyan személy, aki aktívan, engedély nélkül árt a biztonságnak, vagy szándékosan megteremti a módját annak, hogy mások ezt tehessék."

 ( egeresz | 2010. május 17., hétfő - 22:59 )

vagy szándékosan megteremti a módját annak, hogy mások ezt tehessék

pl az a rendszergazda, aki nem telepiti azonnal a biztosnagi frissiteseket (gyakorlatilag az osszes)

stbb

 ( nextar | 2010. május 19., szerda - 15:00 )

Ha jól tudom, jogi értelemben ha felhíják rá a figyelmed, hogy a veszély fennáll és nem teszel ellene semmit, az egyenértékű a szándékossággal.

 ( penztar | 2010. április 27., kedd - 15:31 )

Hello!

A HR bullshit már itt is vastagon felüti a fejét?
Egyébként szerintem minden megítélés kérdése,mert a Criminal is valószínüleg elöszőr forráskód elemzéssel kutat a hiba után ergo akkor security researcher. A különbség a sebezhetőség publikálásában van.
Üdv.

 ( prygme | 2010. április 27., kedd - 18:04 )

+1:) már jópár évtizede megalkották a hacker és cracker fogalmakat. de valamivel meg kell tölteni a céges blogot. a jövő héten lehetne arról írni, hogy milyen jó lenne ha lennének olyan szabványos programozási nyelvek, amelyeken írt programokat különösebb változtatások nélkül le lehetne fordítani különböző gépi nyelveket beszélő platformokra. merthogy assemblyben ezt nem lehet megcsinálni:D

 ( agolon | 2010. április 27., kedd - 15:31 )

Charlie Miller melyik?
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2

 ( honorshark | 2010. április 27., kedd - 17:13 )

Csak egy "srac" aki MacBook-rol almodozott. :)

 ( egeresz | 2010. április 27., kedd - 16:41 )

Dekás = IT biztonsági szakértő

csak dekás van, nincs jófiú. meg rosszfiú. Nincs jó dekás, meg rossz dekás.
Nincs fehér kalap, meg fekete kalap.
Nincsenek cégek, akik "jók" meg stricik/forradalmárok, akik "rosszak".
Cégek vannak, akik egymásnak konkurenciái. Ami az egyiknek jó, az a másiknak rossz. Ha az A cég dekása megvédi az A cég rendszerét a támadásoktól, akkor ezzel a B cégnek kárt okoz. Ha az A cég dekása feltöri a B cég rendszerét, akkor ezzel a B cégnek kárt okoz.

Hol a különbség? Erkölcs, etika vagy jog? Ha egy cia dekás tör egy kínai rendszert, az jó, ha egy kínai kormányzati dekás a nsa-t, akkor ő rossz?

Itt most annyiról van szó, hogy a Verizon gazdasági modelljét hátráltatja a publikus gyengeség-lista és szájkarate módszerével megpróbál hátrányt okozni azoknak a cégeknek, akiket (vele ellentétben) segít egy publikus gyengeség-lista.

 ( xobor | 2010. április 27., kedd - 20:26 )

A Dekás kifejezéssel talán még a Shadowrun nevű szerepjáték kapcsán találkoztam. Nem a Decker szerencsétlen magyarítása véletlenül?
_________________________
Linux for human lemmings

 ( egeresz | 2010. április 27., kedd - 22:39 )

de.
szerintem a legjobb szo ra

 ( atommokus | 2010. április 28., szerda - 11:14 )

olyan is volt, hogy rigo :)

/* bocs az esetleges helyesirasi hidakert */

 ( xobor | 2010. április 28., szerda - 15:07 )

Jaj, akkor meg a riggert fordították rigónak! :D
_________________________
Linux for human lemmings

 ( xobor | 2010. április 28., szerda - 17:36 )

Hmm megtaláltam, de rég is volt...

"Deckers, who are experts at manipulating futuristic computer networks, and use direct neural links via cyberdecks to interface with these computers in a fully immersive virtual reality; Riggers who augment their brains to achieve fine control over vehicles and drones;" [1]

_________________________
Linux for human lemmings

 ( pwm | 2010. április 28., szerda - 14:40 )

[torolve]

 ( zolti | 2010. április 27., kedd - 20:09 )

+1
szerkesztve:
ide ment volna egeresz hozzászólásához:
http://hup.hu/cikkek/20100427/a_biztonsagi_kutato_ujradefinialasa#comment-1009981

 ( danesdzsu | 2010. április 28., szerda - 8:42 )

Azt hogy hívják, aki azt ismételgeti: Nem biztonsági hiba! Nem biztonsági hiba!

:)

 ( xclusiv | 2010. április 28., szerda - 14:48 )

Hát, ennek nincs sok értelme.

Aki bűncselekményt követ el az bűnöző. Akár Charlie Miller, akár a script kiddie szomszéd Pistike.

Aki meg nem, az nem. Szerintem ennyire egyszerű.

 ( Hunger | 2010. április 28., szerda - 15:49 )

Charlie Miller pontosan milyen bűncselekményt követett el?

 ( amagda | 2010. április 28., szerda - 16:03 )

rémhírterjesztés: azt állította hogy a windows biztonságosabb mint a linux, holott ez nyilvánvaló hazugság

 ( Hunger | 2010. április 28., szerda - 16:15 )

:))))

a rohadék, börtönben a helye!

 ( agolon | 2010. április 28., szerda - 17:21 )

A pimp az jobb rá szerintem.
__________________________________
2e845cb4c3a5b5bd6508455b1739a8a2