A szakértőségnek van egy olyan árnyoldala, különösen ha adatbiztonságról van szó, hogy felelősségvállalással jár. Millió plusz egy olyan embert lehet találni, aki megmondja a tutit, hogy miképp kell biztonságossá tenni egy szervert vagy egy adatközpontot, de amikor ott áll a szerződésben, hogy X összegig felelősség vagy kötbér terheli őket, máris nem olyan nagy szakértők.
Pl. a grsecurity milyen felelősséget vállal?
Nah lassítsunk. Vegyünk példának okáért egy authentikációs szervert, amin fut egy front-end. Ha a front-end lehal, akkor a szerver, az újraindulásáig megfogja a többi szerveren futó folyamatokat. Namost, ha biztonságossá tesszük a kernelpánikoltatás logikája mentén az authentikációs szerverünket, akkor ha a front-endben egy olyan bug van amit a biztonsági patch false pozitívan azonosít és elpánikoltatja a kernelt, akkor mindenféle privilégiumszint emelése nélkül be lehet avatkozni a rendszer működésébe. Példának okáért authentikáció nélkül processzeket indítani, mert nem lesz ami megfogja a többi szerveren a folyamatokat. Hogy ez egy baromira rossz architektúra tervezés? Meglehet. De a világ tele van rosszabbnál rosszabbul összerakott rendszerekkel.
Egy hackernek nem csak adatszerzés lehet a célja. Lehet épp a hálózat elemeinek működésének a befolyásolása. Egy logokon keresztüli DOS támadás nyomokat hagy.
TheReg még ha bulváros is a stílusa elég komoly oldal és itt pusztán csak a szituáció túlreagálása elég volt a hírértékhez. Mikor pusztán retweetért és likeolásért tiltanak ki embereket egy twitter feedről, az olyan szintű ovisság, amire az üzleti életben nincs elfogadható magyarázat.
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "