Valaki Windows 0-dayt tweetelt ki bánatában

 ( trey | 2018. augusztus 28., kedd - 7:50 )

Here is the alpc bug as 0day: https://t.co/m1T3wDSvPX I don't fucking care about life anymore. Neither do I ever again want to submit to MSFT anyway. Fuck all of this shit. — SandboxEscaper (@SandboxEscaper) August 27, 2018

Azóta a tweetet törölték, de a GitHub-on megtalálható a PoC.

A CERT/CC sebezhetőség-elemzője, Will Dormann gyorsan ellenőrizte a PoC-t és megerősítette, hogy működik. A sebezhetőségre figyelmeztetőt adtak ki:

"A Microsoft Windows feladatütemező olyan helyi privilégiumszint-emelés sebezhetőséget tartalmaz az Advanced Local Procedure Call (ALPC) interfészben, amely lehetővé teszi a helyi támadó számára, hogy SYSTEM privilégiumokhoz jusson."

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Jól kiborult a csaj, még egy bögrét is összetört, fent van a cicás fotón.

PS: vagy pasi, azt írja a blogján, hogy transgirl.

Nocsak. A törölt tweetje is visszatért.

"PS: vagy pasi, azt írja a blogján, hogy transgirl."

Lassan már azt kell jelezni, ha valaki nem homár vagy ilyesmi.

--
trey @ gépház

Rád férne egy genderkurzus! :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

gender revolution:

https://www.nationalgeographic.com/magazine/2017/01/

:-)


"I'd rather be hated for who I am, than loved for who I am not."

https://twitter.com/SandboxEscaper/status/1026825852326236162

"I've never had an arctic fox call me a faggot or a whore. I would rather be friends with them then with people."

Most ez igazi vagy valami paródia?

Miért, homár is?

Ebben az esetben melyik nem szeretete számít "homárságnak"?

Az identitása mennyire releváns a szakmai tudása szempontjából?

khmm...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Olvassál már bele a témába, nézd meg, hogy az instabil transz lelke milyen raplikat vág le... Bánatában tweetelt, majd macskaköcsögöket tördelt. Ez az egész egy attention whore-kodás, semmi más.

Normális szakember az ilyen hibát a megfelelő helyen bejelenti, embargó alá kerül, felelős közlés. Nem férfi létére két körömlakkozás közt kibassza az internetre.

--
trey @ gépház

Egy lány beszorulva egy fiú testbe nyilván frusztráló lehet.

Több mint 10 biztonsági hibát jelentett be és mégsem kapott érte rendes elismerést vagy állásajánlatot, nyilván frusztráló lehet.

A twitteren néha vicces cicás képeket posztol tovább, ezt több ezer másik ember is csinálja ott napi szinten... (v.ö. "macskaköcsögöket tördelt")

Az ilyen istabil "lelkek" nem a HR-esek álma. vö:

"Me after a self-destructive episode"

https://twitter.com/catsu/status/1003273857300606976

"I don't fucking care about life anymore."

Pont ilyenek hiányoznak a cégekhez a mai világban.

--
trey @ gépház

Ezt speciel simán kinézem, hogy a macska volt. A macskák igen geci lények ám.

A macska írta a tweeteket? xD

--
trey @ gépház

Nem tudom mennyi macskás embert ismersz, ez náluk ugyanolyan mint a kisbabás anyukáknál a "már tudunk állni", "már nem szopunk".

Szerinted van köze a viselkedésének és tweetelési szokásainak ahhoz, hogy így kezelik?

--
trey @ gépház

Az megvan ugye, hogy ez nem az ő tweetje, ez egy RT @catsu posztjáról? A szöveg hozzá pedig a "can relate" fiatal verzióban?

Alapvetően egyetértek, de a dolog másik fele az, hogy ha tényleg tehetséges*, akkor el tudom képzelni simán, hogy egy cég úgy felveszi, hogy belekalkulálja a hiszti vagy depresszió vagy hasonló dolgokat.

* (ezt én nem tudom megítélni, de a tweet-re érkezett válaszok alapján úgy tűnik, hogy a legtöbben úgy gondolták, hogy igen)

Plusz kb. az álláskereső weboldala úgy néz ki, hogy egy rövid mondat szakmai cím után gyakorlatilag több soron keresztül egy nagy figyelmeztetést ír, hogy nem sima vele együtt dolgozni.

Magával a ténnyel, hogy egy pasinak kinéző de saját magát nőnek hívó és nőként öltöző ember, együtt tudnék élni, bár biztos fura lenne és nem erről álmodom, a nagy kérdés inkább az, hogy ha állást kap és irodában dolgozni kezdene egy csapatban (merthogy kifejezetten nem egyedül akar dolgozni), akkor vajon hogyan fog viselkedni.
Szerintem sok team van, ami a kinézetét elviselné, de ha az irodában kezd hisztizni, azt nem.

Hát, akkor csak lesz valaki, aki majd alkalmazza. Aki szerint tehetséges és az sem baj, hogy hisztis.

Mondjuk szerintem messzebb jutna, ha megfelelő helyeken próbálkozna a tudása kamatoztatásával, hogy felfigyeljenek rá:

Pwn2Own, ZDI és az összes többi, ahol a tudásával komoly pénzt is kereshetne. Anélkül, hogy mindenki tudtára kellene adnia, hogy ő most éppen travesztitranfesztiszta vagy akármi. Ami egyébként a kutyát nem érdekli, csak látszólag most eljátssza, hogy jaj, őt mindenki bántja.

--
trey @ gépház

Well, a hibák jórészét a ZDI-n keresztül jelentette:

IE11 EPM priv esc: http://www.zerodayinitiative.com/advisories/ZDI-15-249/
(CVE-2015-1739)

IE11 EPM priv esc: http://www.zerodayinitiative.com/advisories/ZDI-15-377/ 
(CVE-2015-1743)

IE11 EPM priv esc: http://www.zerodayinitiative.com/advisories/ZDI-16-275/ 
(CVE-2016-0194)

IE11 EPM priv esc: http://www.zerodayinitiative.com/advisories/ZDI-16-510/
(CVE-2016-3292) 

Windows installer LPE: https://technet.microsoft.com/library/security/ms16-149
(CVE-2016-7292)

IE11 EPM priv esc: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-0226 
(CVE-2017-0226)


ZDI-CAN-4461 - CVSS: 3.7 - Microsoft - Microsoft edge sandbox escape: https://www.zerodayinitiative.com/advisories/ZDI-17-637/

ZDI-CAN-4770 - CVSS: 2.6 - Microsoft - Local privilege escalation: https://www.zerodayinitiative.com/advisories/ZDI-17-639/

ZDI-CAN-4640 - CVSS 4.7 - Adobe - IE11 EPM sandbox escape: https://www.zerodayinitiative.com/advisories/ZDI-17-323/

ZDI-CAN-3682 - CVSS: 6.8 - Microsoft - Vulnerability in one of Autodesk's file formats, MS dropped support for these in a default app

ZDI-CAN-3723 - CVSS: 6.8 - Microsoft - Vulnerability in one of Autodesk's file formats, MS dropped support for these in a default app

ZDI-CAN-3791 - CVSS: 6.8 - Autodesk  - Vulnerability in one of Autodesk's file formats, MS dropped support for these in a default app

ZDI-CAN-3758 - CVSS: 6.8 - Autodesk  - Vulnerability in one of Autodesk's file formats, MS dropped support for these in a default app

http://thomas-van.blogspot.com/2017/10/thomas-vanhoutte-vulnerability.html

Akkor mi a sírás tárgya? Nem kapta meg a pénzét?

--
trey @ gépház

Nekem úgy tűnik, hogy társaságra vágyik.

Azt írta pl., hogy most Belgiumban él, de onsite munkát keres, lehetőleg Angliában.

Valamint azt írta, hogy azt szeretné, ha úgy dolgozhatna egy csapat részeként, hogy mások mentorálnák őt, nem azt akarja, hogy adjanak neki egy nagy és nehéz feladatot és akkor egyedül oldd meg fiam/lányom.

Persze nem ismerem őt, de ismerek másokat, akik pl. otthonról se szeretnek dolgozni, mert hiányzanak nekik az iroda által biztosított szociális kapcsolatok.

Simán lehet, hogy ez az illető (nem emlékszem, mi a neve, szorri) is hasonló véleményen van.

És mi a baja az ortodox megoldásokkal? Álláshirdetés nézése, CV küldése? Lehet, hogy egy normális LinkedIn profilt kellene szerkesztenie két macskás tweet közt?

--
trey @ gépház

Azt nem mondom, hogy ez egy jó módszer, inkább csak arra a kérdésre próbáltam válaszolni, hogy mi a sírás tárgya, miért nem azt csinálja csendben, amit eddig is csinált.

Hozzáteszem, hogy ilyen kinézettel és hozzáállással lehet, hogy az összes interjúról kivágnák az első 5 percben.

Cserébe ha valakinek megtetszik amit letett az asztalra, akkor mindennek ellenére fel is vehetik talán. Gondolom ilyesmiben bízik.

Nem tudom, mennyire reális ez.

"Hozzáteszem, hogy ilyen kinézettel és hozzáállással lehet, hogy az összes interjúról kivágnák az első 5 percben."

Talán azért, mert a "csapatban akar dolgozni" és a "nehéz velem együtt dolgozni" igencsak kizáró ok.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

De ha megfigyeled, nem azt írta, hogy nehéz vele dolgozni, hanem azt, hogy a kinézete sok embert zavar.

Szóval a zavaró kinézet miatt gondolom azt, hogy sok helyről helyből elutasítanák, ha csak úgy jelentkezik egy álláshirdetésre és elmegy interjúzni. Még az is lehet, hogy nem is tudatosan, csak egyszerűen így reagálná le a HR-es a látványt.

Viszont elméletileg lehet találni olyan embereket, akiket vagy nem zavar alapból a kinézete (leszarják, hogy ki hogyan néz ki), vagy hozzászoknak (én pl. elsőre biztos furának találnám, de minden csoda három napig tart, a második héten már fel se tűnne).*
Szóval ha csak a kinézet a gond, és egyébként a csapatban értékes emberként tud működni és a viselkedése nem rombol, akkor csak az első akadály, a munka megszerzése a nagyon nehéz, utána már mennének a dolgok.

* Persze vannak emberek, akik alapból nem fogadják el ezt az egészet, ilyen emberekkel persze hogy nem működne a csapatmunka.

Szóval ha a fiú/lány ügyes annyira, hogy egy cég fantáziát lásson benne, akkor a HR-es szűrő kör kihagyásával fel lehet venni, csak oda kell figyelni rá nagyon, hogy utána melyik csapatban, kikkel dolgozzon.

"De ha megfigyeled, nem azt írta, hogy nehéz vele dolgozni, hanem azt, hogy a kinézete sok embert zavar."

Hja, kérem, a munkahely nem kupleráj. Minimális szabályoknak illik megfelelni. Ebbe sok helyen nem fér bele, hogy egy férfi a borostájára alapozót, a szájára meg rúzst ken.

(Bocs, libsik!)

Egyébként pedig, az IT pont a toleráns iparágak közé tartozik. A Microsoftnak, a Googlenek, az Applenek stb. mindegyiknek van LGBTmittomén mi csoportja, vagyis tárt karokkal várják őket. Mondjuk az is biztos, hogy a munkát ellenőrzik, megkövetelik.

--
trey @ gépház

Tudod te egyáltalán, hogy mit jelent a liberális?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

A Fodor Gábor, nem?

--
trey @ gépház

Na, mondjuk a Fodor Gábor inkább egy politikai élősködő, mint liberális...

Már amennyiben pl. Orbán Viktor keresztény, polgári és demokrata.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

I'm not a Liberal, so I am for free speech.
-Tucker Carlson, https://www.youtube.com/watch?v=buYUOqMVAdI

Szerintem te a "classical liberal"-ra gondoltal, de mostanaban SJW-ok hivjak magukat igy. Valtoznak a dolgok..

If you have always believed that everyone should play by the same rules and be judged by the same standards, that would have gotten you labeled a radical 60 y
ears ago, a liberal 30 years ago and a racist today.
-Thomas Sowell

--
When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

> Szerintem te a "classical liberal"-ra gondoltal, de mostanaban SJW-ok hivjak magukat igy. Valtoznak a dolgok..

Észak-Korea is Demokratikus Köztársaságnak hívja magát, mégse gondolja senki róla, hogy az is :)

Idézet:
a munkahely nem kupleráj. Minimális szabályoknak illik megfelelni. Ebbe sok helyen nem fér bele, hogy egy férfi a borostájára alapozót, a szájára meg rúzst ken.

Nem tudom, mennyire általános, nekem az utolsó kb. 20 évben volt olyan munkahelyem, ahol előírták, hogyan kell kinézni, de ez általában csak ruházkodásra illetve egy-két cégnél említés szinten az ápoltságra (pl. ne legyen az ember büdös és koszos) vonatkozott.

Nem emlékszem, hogy bárhol előírták volna, hogy férfiak nem rúzsozhatják magukat. (Amúgy fun fact, úgy tudom, hogy vannak olyan hetero férfiak (is), akik alapozót és enyhe sminket használnak. Sőt, átlátszó körömlakkot is. Állítólag jobban ki lehet így nézni, és vannak munkakörök, ahol ez előny).

Pedig tudok neked mondani. Bármelyik fegyveres testület pl. Ahol még a borostát sem tűrik el. Szakállad lehet, de borostád nem. Magyarul, úgy lehet szakállad, hogy ha elmész szabadságra, növesztesz alatta.

Egyébként amit mondasz baromság. A munkaszerződések tartalmazni szokták a "megjelenik a munkakezdés előtt x idővel, munkára alkalmas állapotban".

Ebbe egy ügyfelező embernél nálam nem fér bele, hogy férfi létére bohócra mázolja magát.

"Nem emlékszem, hogy bárhol előírták volna, hogy férfiak nem rúzsozhatják magukat."

Jah, meg az sem, hogy tűsarkúban nem járhatnak miniszoknyával. Ennyire még nem beteg a világ, hogy ezeket le kéne írni, de amerre haladunk, szerintem előbb-utóbb azért lesznek ilyen szabályok.

--
trey @ gépház

Idézet:
Ebbe egy ügyfelező embernél nálam nem fér bele, hogy férfi létére bohócra mázolja magát.

Az enyhe szót észrevetted?

Tipikusan ezek az emberek nem úgy sminkelnek, mint a bohócok, vagy mint az átlagos női smink, hanem úgy, mint amikor a nők azt mondják, hogy nincs rajta smink: vagyis van rajta, de csak annyi, hogy nem tűnik fel. Aki ért a sminkeléshez, bizonyára észrevesz ezt-azt, a nagy többség (gondolom te meg én) meg nem is tudjuk, hogy egy kicsit rásegített, mert természetesnek látszik.

https://pbs.twimg.com/profile_images/1025077841778630656/MilNTiah_400x400.jpg

Ez a fajta sminkelés neked hova tartozik?

--
trey @ gépház

én mondjuk erről pont elhinném, hogy:
- egy bőrbeteg,
- és még mellé egyébként is kicsit csúnya
nőről van szó, ha nem írjátok mellé, hogy travi.

És amikor megszólal egy borízű férfihangon, akkor teljes az összkép.

A kérdés mondjuk nem ez volt.

--
trey @ gépház

nem sok travival találkoztam eddig, de amelyiknek már melle nő, abban van annyi hormon, hogy a hangja jobban hasonlít egy idegesítő cicababájéra.
vagy csak mindegyik túlkompenzált

de én pont kurvára leszarom, hogy néz ki, amíg nem azért fizetik, hogy szép legyen.

Te munkaadó vagy? Mert ha nem, akkor teljesen irreleváns, hogy te leszarod-e vagy sem. Itt arról van szó, hogy az ilyenek miért nem kapnak munkát, van-e köze ehhez annak hogyan néznek ki stb.

--
trey @ gépház

te? vagy törölhetjük akkor az egész threadet, mert arról szól, hogy neked/nekem/jóskapistának mi fér bele?

Mondjuk a csoportomon belül van beleszólásom, hogy kit alkalmazunk, mint vezető. Mi a kérdés?

--
trey @ gépház

Természetesen van hozzá köze.

Hisz ő maga is azt írja a bemutatkozó oldalának kb. a második mondatában.

Nem tudom megállapítani, hogy van-e rajta smink.

Szóval nekem ez a láthatatlan kategória.

Persze lehet, hogy élőben, közelről tökre feltűnne, ami így, a vacak fényképről nem.

A szeménél és a szájánál néztem, hogy látok-e rajta sminket, de nem vettem észre semmit azon kívül, hogy valószínűleg a szemöldökének az alakja mesterséges - de ezt persze a metroszexuális pasik is nyomják.

>> Ebbe egy ügyfelező embernél nálam nem fér bele, hogy férfi létére bohócra mázolja magát.

A "Vulnerability Researcher" nem túlságosan "ügyfelező ember"...

"Állítólag jobban ki lehet így nézni, és vannak munkakörök, ahol ez előny"

Mégis hol előny? Genderszakon?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ahol az a fontos, hogy a dolgozó jobban nézzen ki, mint az ügyfél. Pl. Bizonyos művészeti és divatszakmák - és köze nincs semmilyen gendertémához.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ott mégis kinek és mit akarnak üzenni ezzel a páváskodással?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Azért mert te meg életedben nem láttál pl divatbemutatot, még létező jelenség, és oka van annak, hogy rendre szerveznek ilyeneket, ez ugyanis egy iparág, amiben hatalmas gazdasági potenciál van. Többek között amit éppen most viselsz, az is jó eséllyel valamikor valamilyen fashion designer kezen keresztül került gyartasba (bár mondjuk ha Classic szandal-zokni, kockasing, guns-polo a standard nálad, akkor bocs, tévedtem)..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Értem, hogy egy adott körben ez a jelenség. Viszont úgy látom, hogy neked nem jött át a kérdésem lényege: miért van ez a jelenség? Mi az oka annak, hogy ez kialakult? Ki kinek és mit akar ezzel üzenni?

Ugyanígy érdekelne, hogy szerinted kiknek szólnak ezek a divatbemutatók és kik azok, akik ezt a hatalmas piacot alkotják.

(Fashion designerek munkásságáról meg megvan a magam külön véleménye, de most egyelőre maradjunk már meg az eredeti kérdésnél.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Gondolom mert igeny van rá. Nem hiszem, hogy bárki ezzel üzenni akarna bárkinek is, ezt gondolni nem más mint paranoia.
Azoknak szólnak, akiket érdekel a téma és azok alkotják ezt a hatalmas piacot, akik kiszolgaljak a társadalom divat iránti igényeit.
Az, hogy neked kiről mi a véleményed, kizárólag a saját problémád! Más egyéb kérdés? :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

De miért van rá igény? Ha igény van, akkor valószínűleg azért, mert az adott körnek jelent valamit, ergo üzenete is van a többiek számára.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Mit is akarsz pontosan megtudni? :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Akkor mondom, hogy ebből mi jön át nekem: vagy észre sem veszem (akkor meg minek) vagy ha mégis, akkor vagy a heteroságában kezdek el kételkedni vagy azon kezdek el gondolkodni, hogy egy férfi miért bassza el az idejét ilyenekre ahelyett, hogy valami hasznosat tenne. Ugyanis tapasztalataim szerint a legtöbb férfi ugyanúgy szarba se nézi ezt a legtöbb nő meg vagy szintén melegnek nézi vagy kiröhögi, hogy most tényleg velük akar-e versenyezni páváskodásban. (Ha azt hinnéd, hogy alapvetően a férfiaknak szólna az, hogy egy nő kiöltözik... haha, jó vicc.)

Szóval ezért érdekelne, hogy kinek és mit akarnak ezek kifejezni.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Ha ez így van, akkor ez személy szerint neked miért okoz frusztrációt?

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Ki mondta, hogy fusztrációt okoz? Azt mondtam, hogy szerintem értelmetlen az egész. Pont ezért kérdem, hogy ki és mit vár ettől.

De úgy látom, hogy te sem tudod elmondani.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Pont ezért okoz benned frusztraciot, nem tudod értelmezni, nem tudod feloldani magadban ezt a kérdést. Elmondtam, amit tudtam, a meggyőzésed már nem az én dolgom.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Mindig örülök azoknak a kedves embereknek, akik meg akarják magyarázni, hogy én hogy érzem magam a saját bőrömben, még akkor is, amikor egyértelműen kijelentem, hogy mi van.

Megmondtam: értelmetlen időelbaszásnak tartom, ETTŐL MÉG érdekel, hogy mást mi motiválja, hogy ezt tegye. Tudod, attól, hogy valamit máshogy gondolok, mint a többiek, még érdekelhet, hogy ők hogy gondolják.

Arról nem tehetek, hogy te ahelyett, hogy egy egyszerű kérdést megválaszolnál (amit láthatóan képtelen vagy) inkább azt próbálod bemagyarázni nekem, hogy fusztrációt okoz.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

De hiszen téged basztat az érzes, amiért ennyire furdalja az oldalad a kíváncsiság, hogy megfejtsd a számodra érthetetlen jelenséget, amit mások teljesen természetesnek vesznek és emiatt nagyivben leszarnak. Te minek nevezned ezt? :)
Tok mindegy ki mit mond neked, nem fogadod el.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hát ez az, tapasztalataim szerint mások sem veszik teljesen természetesnek, maximum egy szűkebb körökben.

Arról meg nem tehetek, hogy 10 komment után sem vagy képes egy egyszerű kérdésre egy egyszerű választ adni, csak kitérni meg a másikba belemagyarázni dolgokat, miután egyértelműen kijelentettem, hogy halál nyugodtan fogok tudni aludni akkor is, ha képtelen vagy egy egyszerű, racionális magyarázatot adni rá.

Persze, megértem, ha neked teljesen természetes, hogy leszarsz mindent, és nem akarod megérteni, de ez a te szegénységi bizonyítványod. (Mondjuk ezt a másik topicban a házasság céljának látható meg nem értésénél is bemutattad szépen.)

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Szerintem egyszerű és érthető válaszokt adtam, más kérdés, hogy mintha nem igazán akarnád ezeket értelmezni. Ha ennél többet szeretnél tudni és ennyire érdeklődő vagy, akkor miért nem keresel fel olyan közeget, ahol első kézből tudnál olyan emberekkel beszélgetni, akik ebben élnek, és el tudják neked mondani, amire kíváncsi vagy?!
Egyébként meg láthatóan pont te vagy az, aki képtelen elfogadni az ellenvéleményeket, és csak a saját értékrendjét fújja (lásd pl. ez a szál is) - akkor most kinek milyen is a szegénységi bizonyítványa?.. :)

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Üzletkötők mesélték.

Kérdésem ugyanúgy fenn áll: kinek és mit akarnak ezzel kifejezni?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Az ügyfél számára akarják ezzel kifejezni azt, hogy ők szebbek, jobbak, hibátlanabbak.
Így az ügyfélnek szimpatikusabbak és így több üzletet sikerül nyélbeütniük.

És kik képviselik itt az ügyfelet?

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Nem értem a kérdést.

Mire vonatkozik az itt a kérdésedben?

Az üzletkötővel az ügyfél beszélget, nem képviseli őt senki. Vagy nem tudom, mire vonatkozik a kérdésed.

Hagyd, maga se tudja mit akar...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Beszélgess el egy órabuzival. Órákig képes majd magyarázni neked, hogy melyik óra milyen személyiséget jelent. Vagy ha más nem, szimplán felvágást, hogy "megtehetem, hogy ilyen órát kurva drága órát veszek". Adott körben ezeknek jelentése van.

Épp ezt kérdezem, hogy ebben a körben ennek mi a jelentése.

----------------
Lvl86 Troll, "hobbifejlesztő" - Think Wishfully™

Közelítsük meg más oldalról.

A fenti példában a cél az, hogy sikeresebb legyen a munkájában. Az arcbőr és a kéz ápolása, hidratálása, puhítása, alapozóval a bőrhibák elfedése, a szemöldök formára szedése, a borotválkozás, a frizura vágása, a jól szabott öltöny, a drága karóra, a mutatós autó, a szép cipő, az illatszerek és az összes többi azért van, hogy az ügyfélben jó benyomást keltsen, és így nagyobb esélye legyen az üzletet tető alá hozni.

Szóval mi a jelentése? Az, hogy ilyen eszközöktől se riad vissza a plusz pénzért és nagyobb sikerért.

Mi a jelentése? Éppen dolgozik.

Mi a jelentése? Az, hogy az az ember úgy gondolja, hogy ettől neki jobb lesz.

Mi a jelentése? Semmi

Azt nem tudom kapott-e pénzt és ha igen, akkor mennyit, de azt biztosan tudom, hogy szar az egész iparág és a sebezhetőségek értékelése, így nyilvánvalóan ha kapott is valamennyit, akkor is jóval kevesebbet, mint amennyit adott esetben érhetnek.

A srác logikai hibákat keres, amelyek sokkal értékesebbek (legalábbis az én szememben mindenképp, a béna vuln. piacosoknál nem feltétlenül), mint az általános memóriakorrupciós hibák és sok esetben sokkal nehezebb őket megtalálni, így több munka van velük. A több munkáért pedig mégis ugyanakkora elismerés és fizetség jár, mint azokért a triviális hibákért, amiket akár automatizáltan is meg lehet találni (pl. fuzzerekkel). Nyilvánvalóan nem fair az értékelőrendszer és az ő hibáiért ha kap is valamennyit, akkor közel sem annyit, mint amennyi időt belerak a megtalálásukba és bizonyításukba. Ergo ha akarna sem tudna ebből megélni.

+1

Amikor egy embert felveszel, nem csak azt kell nézned, hogy maga mit fog csinálni, hanem hogy milyen hatással lesz a többiekre. Ha a többieket mondjuk idegesíti a napi rendszerességű dárma, akkor lehet, hogy azt fogod észrevenni, hogy az embereid elkezdenek mindenféle indokokkal elszivárogni.

Egyébként ezért hülyeség a meritokráciának az a szélsőséges ága, ami azt szeretné, hogy hagyjuk figyelmen kívül az emberi dolgokat. Emberek vagyunk, és ezt nem hagyhatjuk figyelmen kívül.

Igen, és itt jön bele a képbe az, hogy ha valaki annyira nagy zseni, akkor hiába egy kibírhatatlan pöcsfej, hiába utál vele mindenki dolgozni, lehet, hogy a cégnek még így is megéri.

Persze, nyitnak neki egy saját irodát :-)

vagy egész éves kötelező home offisz + skype video call a fél évente esedékes performance review-hoz
--

Az mennyivel normálisabb, ha valaki ugyanezt a kormány/cég megbízásából vagy pénzszerzés miatt csinálja? (pl. https://zerodium.com/program.html)

Semmivel, de ők nem sírják tele az internetet azzal, hogy éppen milyen szemét a világ, mert nem kapnak rendes munkát.

--
trey @ gépház

Jó hát hogy mit csinál a egyéb szabadidejében a posztoló az már a blikk-re tartozik.

Sajnos vagy nem, a HR-esek elég alapos nyomozást végeznek sok helyen, mert ki akarják szűrni a drogos/alkoholista/hisztérika/ön- és közveszélyes stb. embereket. A céljuk az, hogy normális munkaerőt találjanak, akik rendesen elvégzik időre a munkát.

Ebbe a nyomozásba elég rég beletartozik a közösségi oldalak ellenőrzése is. Úgyhogy, ha azt gondolod, hogy ezzel csak a Blikk foglalkozik, akkor tévedsz.

--
trey @ gépház

Oké, te nem vennéd fel. Ezzel szemben amikor kiírta hogy munkát keres, nem noname cégek írtak neki twitteren publikusan.

Én is publikusan szoktam állásajánlatokat tenni. Ja nem. Virtue signalling lesz az.

Majd szólj, ha valamelyiknél bevált.

--
trey @ gépház

A van egy olyan szintű itsecurity, ahol kimondottan nem "normális" munkaerőt keresnek, mert a tapasztalat azt mutatja, hogy "normális" emberek nem rendelkeznek az ilyen jellegű hibák megtalálásához szükséges skillekkel/megszállottsággal.

- Most hackers are atypical. A research document from Scotland Yard last year indicates the majority of hackers in England are Aspergers. Some of them are identified; others don’t disclose it.

- They have a demonstrated superior capacity to identify patterns. The Israeli army has created an elite squad ("unit 9900") composed solely of Autistics to deduct with pattern recognition troop movements on satellite images.

via

Megjött a javítás: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8440
+ még 16 kritikus besorolású hiba, közte egy ilyen finomsággal:

CVE-2018-8475 is a remote code execution vulnerability in Windows OS, which exists due to the image-loading functionality improperly handling malformed image files. An attacker could exploit this bug by convincing a user to load a malformed image file from either a web page, email or other method.

Elvileg már publikus exploit is létezik rá.

via https://blog.talosintelligence.com/2018/09/ms-tuesday.html / https://www.thezdi.com/blog/2018/9/11/the-september-2018-security-update-review

Akkor csak a szokásos. Frusztráló meló lehet MSFT security / WSUS peccsmérnökként dolgozni. Effektíve semmi értelme a melódnak. Hónapról hónapra próbálod utólérni a rosszfiúkat (v. lányokat, ha épp a tüllszoknyában ült a gép elé). De az általános kód quality annyira a béka picsája alatt van redmondban, h. soha még csak esélyed se lesz rá h. nyugodtan alhass legalább 1-2 hónapig. Igazi lélekölő folyamat. Soha nem mondhatod h. amin dolgozol az "kész" v. legalábbis vmi checkpoint-ot elért. Viszont ha kimarad vmi kis faszság update, egy ráérős hülyegyerek biztos megtalálja a rést, aztán leshetsz mint Maersk a moziban.
--

Szerintem ez minden security researcher esetében igaz. Különös képpen ott, ahol növekszik a kód bázis. Már pedig a programozók feladata általában az, hogy növekedjen.
Máshol se jobb a helyzet, pl. Android Security Bulletin 2018 September: 11 Critical, 44 High

s/redmondban/mindenhol/

Elvileg a TIFF fájl a bűnös: MS.Windows.TIFF.tif_rawdata.Out.of.Bounds.Write.
Ami jó hír olyan szempontból, hogy közvetlenül FF/Chrome-ot nem érinti html render közben, mert ezek nem jelenítik meg ezt a formátumot.

Viszont valószínű elég sok mást igen. Pl. Office dokumentumok.

De elvileg elég felrakni pendrive-ra egy ilyen fájlt, mert a Windows thumbnail generálás közben olvassa/parsolja. Ugyanakkor el tudom képzelni, hogy ha valaki kap egy emailt "Fizetési felszólítás" címmel, mellette egy csatolt képpel, akkor meg fogja nyitni.

Valamint FF/Chrome-ot is rá lehet kényszeríteni, hogy letöltsön egy fájlt a user gépére:

<a id="link" href="sample.pdf" download="https://www.fileformat.info/format/tiff/sample/3794038f08df403bb446a97f897c578d/CCITT_1.TIF">Download</a>

document.getElementById('link').click()

Innentől kezdve mindig lefut az exploit bármikor betéved a letöltések mappájába. (thumb generálás miatt)