Befejeződött a Grsecurity fejlesztése

Titkosítás, biztonság, privát szféra

A sokak által használt Grsecurity patch fejlesztése a mai naptól kezdve befejeződött.

Amícg nem tettél le valamit az asztalra, addig ne fikázzál itt senkit. Egy bizonyos Jézus Krisztus kezdte valamikor így: az vesse rám az első követ...

Egyébként meg egyes OS-ek készítőinek sajnos be kéne néha ismerni, ha ihletet merítenek egy kódból. Nem szégyen az, ha az ember dob egy credit-et a greetings-be, ha valahonnan ötletet merít.

Egy bizonyos Theo-nak akkora az arca, hogy kölön talicskával kell utána tolni.

Úgyhogy várjuk tőled a hasnoló volumenű project-eket, és akkor nem csak egy hiteltelen, kiüresedett hacker wannabe benyomását fogod kelteni.

Dw.

hat en irc logokra nem mondanek semmilyen velemenyt, tekintve, hogy nagyon egyszeruen hamisithato (akar en is lehetek spender fel percen belul), masreszt ha itt felsorolnak, hogy en miket szoktam beszelni az irc-n egy-egy esti barmokodas kozben, amer regen elvittek volna az elmegyogyba :-D

>Ilyenbol szuletett a news.google.com, az orkut.com, vagy a SUN-nal a JAVA.

Tevedes. A Java (akkor meg Oak) a SunLabs-ben szuletett, ami egy egyszeru K+F kozpont. Vagyis azert fizetik az ott dolgozo embereket, hogy gondolkodjanak, otleteljenek, fejlesszenek dolgokat. (egy ilyen munkahely minden mernok alma:)

Gosling kutatomernok volt, a Java-t pedig elsokorben egy set-top-box fejlesztesehez akartak hasznalni. Ez a projekt elabortalt, de jott a WWW, es valakinek eszebe jutott, hogy a VM es a Java milyen jol hasznalhato lenne egy ilyen kornyezetben... a tobbi tortenelem.

Valaki leosztja a feladatot: fejlesztes. Valaki (tobbe kevesbe) szabadon gondolkozik: kutatas. Azert K+F kozpont, mert mind a ketto jelen van (erdemes megnezni a www.sunlabs.com es www.sunsource.net cimet, es osszevetni azzal, hogy miket ad el a Sun... nem sok koze van a kettonek egymashoz (meg:)).

majd amikor teged sem a szuleid tartanak el, hanem dolgoznod kell, h legyen mit kajalnod, maskepp fogod latni. a lelkesedes szep dolog, de nem kapsz erte kenyeret a boltban. biztos sokan ateltek mar, h megcsinaltak egy melot, es basztak kifizetni az illetekesek, ennel keves szemetebb dolog van (nem tudom h a grsec eseten h tortent).

( PaXTeam | 2004. 06. 01., k – 11:28 )

latom megint grsec, megint flame meg miegyeb... ;-). komolyabbra forditva a szot, mivel kozelebb allok a tuzhoz, hadd tisztazzak nehany dolgot:

1. a grsec-nek *nincs* (es nem is volt) "fo" szponzora (ezzel nem akartam lekicsinyelni senkit, ezer koszonet jar minden segitonek!). ami tortent az az, hogy a spendernek nyari munkat (meg diak, jovore vegez) igero ceg vegulis nem valtotta be az igeretet, igy o hoppon maradt - pechjere penz nelkul, nemi adossaggal tetezve. a dolog annyira sulyos volt, hogy az elmult hetekben mar kajara sem volt penze (es amilyen kuka volt, nem szolt meg nekem se errol), kenytelen volt eladni nehany exploit-ot a vegen ill. kolcsonkerni (az exploit dologrol lasd alabb bovebben). na ennyit a karorvendoknek...

2. a PaX annyira erintett az egeszben, hogy a cvs/http szolgaltatas ugyanarrol a geprol megy, es mint spender mar emlitette a levlistan, a gep addig marad, amig grsec van, utana nekem is uj otthon utan kell nezni (amire mar kaptam nehany ajanlatot, bar remelem nem kell veluk elnem).

3. spender meg az exploitok tortenete: akik ismerik a grsec-et, azok tud(hat)jak, hogy ez az egesz mar jo par eves multra tekint vissza, olyan idokbe, amikor a grsec-ben megvalosulo otletek meg feher hollonak szamitottak. a hangsuly az integralt rendszeren van, nem egyes reszein, amik kozul nehany ilyen-olyan formaban letezett mar elotte is. termeszetesen spender tudott a legtobb akkoriban letezo megoldasrol es pont azert kezdett bele a sajatjaba, mert valami mindig hianyzott beloluk. ahogy egyre jobban belemerult a grsec fejlesztesebe, ugy valt nyilvanvalova szamara, hogy egy csomo letezo rendszer nem hogy 'nem eleg jo', de egyenesen alkalmatlan eredeti celjara mert biztonsagi lyukak vannak benne. ekkor altalaban ket lehetoseg adodik: vagy kozli az ember a hibat (vagy amit annak tart) a rendszer irojaval vagy megtartja maganak. a ket dolog kozott mindenki mas es mas szempontok alapjan dont. spender eseteben a dolog ugy allt, hogy eloszor megprobalt kommunikalni bizonyos emberekkel (en konkretan a systrace esetet ismerem, es nem allitom, hogy mindenkivel megtette kesobb), de mindhiaba es ezek utan egyszeruen feladta (pl. a systrace a mai napig tartalmazza azt a TERVEZESI hibat, ami megengedi az execve() finom szintu kontrolljat de nem teszi leheto ugyanezt a mmap()/mprotect() eseten - igy ertelmetlen az egesz). spender viselkedeseben szinten nagy szerepet jatszik az, ahogy mas projektek a grsec-hez viszonyulnak - aki nem szeret kooperalni, az ne varja el, hogy talcan kapja a hibajavitasokat.

jut eszembe, mit tegyek akkor, ha nemreg talaltam egy bugot az exec-shield-ben, de Ingo meg azt sem volt kepes kijavitani, amit mar egy fel eve kozoltem vele a debian-devel-en? na ekkor van az, hogy az ember elgondolkodik azon, hogy erdemes-e tornie magat masok projektjeiert.

szoval, a hir igaz (spender-nek van, vagyis most mar csak volt exploitja), de nem ugy, nem azert es nem akkor. ja, es mivel nemreg eladta oket, nem kell felni attol, hogy a kozeljovoben napvilagra kerulnek.

4. spender blackhat: nem tudom, ki terjeszti ezt, de gondolom nem sok goze van arrol, hogy mi az a 'blackhat'. o is, en is meg kb. mindenki aki security-val foglalkozik rengeteg, a temaban jaratos embert ismer, az erem mindket oldalarol, hogy egyszeruen fogalmazzam. de ettol meg nem valik az ember blackhat-te, mint ahogy attol sem, hogy ir nehany exploit-ot. egy masik pelda: a 2.6.6 linuxban van egy par biztonsagi javitas (tudom, nem vertek nagy dobra oket), az egyik egy lokalis kernel memoria olvasasi hiba, amit spender fedezett fel es kozolt az eredeti szerzovel - ez is blackhat?

5. thuglife: latom, meg mindig boki valami tuske az oldaladat ;-). azt allitod, hogy alaptalan dolgokat allit(ott)unk az OpenBSD-rol - en hajlando vagyok MINDEN EGYES a multban tett allitasomat megvitatni es megindokolni, csak ra kell kerdezni. bar nem hinnem, hogy trey foruma a megfelelo hely ennek megbeszelesere, de ha osszegyujtod az altalad serelmezett kijelenteseinket, en megvalaszolom oket akar itt is (es persze lehet utana vitatkozni roluk).

>szoval, a hir igaz (spender-nek van, vagyis most mar csak volt exploitja), de nem ugy, nem azert es nem akkor. ja, es mivel nemreg eladta oket, nem kell felni attol, hogy a kozeljovoben napvilagra kerulnek.

Ez azt jelenti, hogy a rosszfiuk (pl: Al kaida, CIA, ...) megvettek exploitokat, hogy szabadon garazdalkodhassanak?

Eleg kemeny.

Ha ez igaz akkor spender terrorista kategoria. Akar mit is csinalt grsec ugyben.

(gyk: a terroristaknak is van polgari foglalkozasa.)

nem tudom ki a vevo, de... pl. http://idefense.com./poi/teams/vcp.jsp teljesen legalis, business, ahogy kint mondjak (gyakran honapokig csak a fizeto vevok tudnak a bugokrol). a CIA-nek meg nincs szuksege spenderre (vagy barki kulsosre), megvannak a sajat embereik meg eszkozeik bug-ok keresesere, exploit-ok irasara. ja, azt is megkerdeznem, hogy minek tartod az olyan cegek alkalmazottait, akik penetration testinggel, vulnerability assessment-tel, meg hasonlokkal foglalkoznak (en is dolgoztam ilyenben, szoval jol gondold meg...)?

Rendszeresen kuldtok be ilyen linket, ami erre az oldalra mutat. Azt nem ertem, hogy minek olvassatok azt az oldalt, ha csak felhuzzatok rajta magatokat.

Igaza van az oldal keszitojenek, amikor azt mondja, hogy akinek nem tetszik a velemenye, az ne olvassa. Vannak az ujsagosnal pl olyan ujsagok, amiben szerintem hulyesegeket irnak, de nem huzom fel magam rajta. Egyszeruen nem veszem meg.

>minek tartod az olyan cegek alkalmazottait, akik penetration testinggel, vulnerability assessment-tel, meg hasonlokkal foglalkoznak

Elegge attol fugg, hogy kiket szolgal ki. Ha valaki a sajat rendszerenek tesztelesere keri fel akkor ok, ha masera betores/lopas miatt akkor nem.

Pontosan olyan ez, mint az epuletek fiziakai biztonsaga. Ha egy kulso biztonsagi szakertovel a sajat epuleted biztonsagat mereted fel (pl ugy,hogy megprobal fizikailag betorni), akkor OK.

Ha felbereled, hogy torjon be egy bankba es hozza el a penzt akkor nyilvan nem ok.

Ha az Al Kaida/Eszak Korea/... volt a vevo, akkor spender terorista. Ha valamelyik bank, vagy IT biztonsagi ceg, akkor nem az.

De legalább végre elismert valamit: "...a szabadszoftver-modell nem biztosítja az érdemi, eredeti szoftverfejlesztők megélhetését akkor sem, ha azok kiváló minőségű, valóban használható, és a piac (felhasználók) által is igényelt produktumokat állítanak elő. ..."

"Egy szponzor korábban folyamatos támogatásra tett ígéretének hirtelen visszavonása miatt [..] a grsecurity megszűnik létezni", írja a Brad Spengler a grsecurity honlapján közzétett elkeseredett üzenetében."

Mit varsz egy olyan irotol, aki meg azt sem tudja, hogy Brad vezetekneve nem Spengler, hanem Spender. No comment.

ertem. akkor a securityfocus.com meg a packetstorm mind terrorista szervezetek, mert korlatozas nelkul (akar terroristaknak is) elerhetove tesznek exploitokat (volt amikor az exploit iro kifejezett szandeka ellenere is). tudod mi az erdekes? az OSSZES "blackhat" akit en ismerek pontosan ezt allitja mar evek ota. jo tarsasagban vagy ;-).

http://lwn.net/1998/0806/a/linus-noexec.html [lwn.net]

Linus Torvalds irta:

"In short, anybody who thinks that the non-executable stack gives them any

real security is very very much living in a dream world. It may catch a

few attacks for old binaries that have security problems, but the basic

problem is that the binaries allow you to overwrite their stacks. And if

they allow that, then they allow the above exploit.

It probably takes all of five lines of changes to some existing exploit,

and some random program to find out where in the address space the shared

libraries tend to be loaded. "

> elvileg erre lenne jó a hozzászólások pontozása

Na igen, de a HUP-on van egy íratlan szabály, hogy amit szabad Jupiternek, nem szabad a kisökörnek. Ugyanilyen "hozzászólásért" bárki más ki lett volna nyírva. (na jó, plusz kivétel még az mplayer-gárda, ők is bármit mondhatnak)

A véleményem a dologról nem változott és nem is fog. Engem le lehet osztani, engem le lehet anyazni, nagyon nem erdekel a dolog. Mindenki azt mond, amit akar. Aki meg személyesen ismer az tudja milyen vagyok és megérti a dolgokat. És büszkén vállalom fel azt, hogy egy dumbass vagyok.

Érkezett már valamiféle komoly szponzori ajánlat a spenderhez?

Vagyis lehet-e tudni valamit a folytatásról ?

2.6.6 linuxban van egy par biztonsagi javitas (tudom, nem vertek nagy dobra oket), az egyik egy lokalis kernel memoria olvasasi hiba, amit spender fedezett fel

Erre gondolsz, mert ha jól emléxem, akkor javítás még sehol sem volt, amikor ez már megjelent. [secunia.com]

> kiárulta az exploitot....

lehetett volna licitálni. Kernel local root exploit, remote exploit. IMHO több pénz folyt volna be és feldobta volna az életet.

Mindenesetre ez megerősíti amit mondtam.

Szeritem *ez* gyökér dolog.

(ennél még az is jobb ha kirakja a grsec főoldalára)

a felreertesek elkerulese vegett en nem azt mondtam, hogy szerintem mi a helyes, hanem azt, hogy kb. mi es miert tortent. azt meg valahol mar fentebb elmondtam, hogy az exploit arulasa is csak 'business', akar tetszik, akar nem, ebbol emberek *legalis* uzletet tartanak fent es egesz jol megelnek belole (legalabbis tudomasom szerint az idefense nincs csodkozelben).

1. igen, erkeztek ajanlatok, de reszleteket egyenlore en sem tudok, ill. amennyire tudom, konkret osszegekrol meg nem volt szo, csak szandekrol - szerintem varni kell meg par napot, amig kialakul.

2. igen arrol beszeltem, de a 'javitas meg sehol nem volt' resz nem korrekt:

http://www.kernel.org/pub/linux/kernel/v2.6/snapshots/old/patch-2.6.6-rc2-bk5.log

eszerint:

ChangeSet@1.1371.699.19, 2004-04-21 19:49:59+01:00, davej@redhat.com

[CPUFREQ] Fix security hole in proc handler.

Brad Spengler found an exploitable bug in the proc handler

of cpufreq, where a user-supplied unsigned int is cast to a signed int and then

passed on to copy_[to|from]_user() allowing arbitary amounts of memory to be written

(root only thankfully), or read (as any user).

The Common Vulnerabilities and Exposures project (cve.mitre.org) has assigned

the name CAN-2004-0228 to this issue.

ehhez meg annyit tennek hozza, hogy a 'root only thankfully' megjegyzes tipikus felreertesre utal, hiszen mi masert hasznal az ember olyan cuccot mint grsec/rsbac/selinux/lids/stb, ha nem eppen azert, hogy a root (uid=0) se tudjon kart tenni (es amit egy ilyen bug szepen agyonut)?

megpróbálom rövidítve, hátha így elmegy (3szor próbáltam átnyomni egy hosszabb verziót, de hiába.)

1. köszönöm , mostmár csak lesz valahogy...

2. jogos , igazad van. köszönöm a kiigazítást.

OFF:ha már szóba került, azért rc/pre-x státuszu kernel "full-patch"-ekre nem bíznám magamat. egy félkész patch többet árthat, mint amennyit használ. inkább akkor várok a stabil teljes kiadásig

2.6.6 / 2.4.27 ~ 2.4.18 14.4 (debian)

uid=0-ról annyit, hogy sz'tem a biztonsági hibák kihasználása, azért is lehet ilyen látványos, mert a root/administrator/supervisor-nak túlságosan sok joga van "futásidőben" egy adott rendszeren, mint amire azon valójában szüksége lenne.

még a hosszabbban megkérdeztem, hogy kisüzit / kicsit más, de grsec téma / megkaptad-e, de látom még nálam is a "kimenők között" van.

ne legyel mar ennyire dumbass :-)

Azt irja nem fizetett a szponzor, ezert kolcson kellett kerni a csaladjatol kajara. Nem jo, ha valaki foallasban dolgozik valami, es a vegen nem fizetnek. Legyen az linuxos fejleszto vagy barki mas. Ugy tudom, hogy tavaly eppen egy openbsd fejlesztonek (Dale Rahn) volt ***** karacsonya pont ilyen miatt nem?

( anr | 2004. 05. 31., h – 22:26 )

http://developers.slashdot.org/developers/04/05/31/1949241.shtml?tid=106&tid=126&tid=172&tid=185

thuglife, én kérek elnézést amiért nem ismerlek és semmit sem tudok rólad, de roppant kíváncsivá tettél: mi az, amit eddig Te letettél az asztalra számtech terén, természetesen ingyen és bérmentve és bármiféle támogatás nélkül? Légy szíves világosíts fel, hogy talán megérthessem beszólásaid.

Itt nem az szamit, hogy ki mit tett le az asztalra hanem az, hogy grsecurity-s és PaX os csávók alaptalan dolgokat hírdetnek egy bizonyos másik OS -ről. Mindki tudja melyik OS-ről van szó. Már bocsájts meg nekem de en csak kiröhögöm ezt a csókát.

"Though it would be possible for others to handle maintenance of the project, the quality won't be held to the same standards and will not progress with the same goals I have set for the project."

Kinek kepzeli magát, hogy ilyeneket ír? Lehet mások 100x jobban véghez tudják vinni a dolgot.

Azt, hogy én mit tettem le az asztalra az senki másra nem tartozik csakis rám. Én nem akarok senkinek bizonyitani. Szerintem nem sz*a*rok en bele ki mit gondol? És en amit tettem minden ingyen tettem, támogatás nélkül. Azért, hogy másnak de fönleg nekem jó legyen.

> Kinek kepzeli magát, hogy ilyeneket ír? Lehet mások 100x jobban véghez tudják vinni a dolgot.

Nem azt írta, hogy mások nem tudnának legalább ilyen jót csinálni, hanem azt, hogy ha más viszi tovább, akkor nyilván másmilyen szempontok, más célok stb. fogják vezetni. Eddigi tapasztalataim alapján ezt bármely kis (pláne egyszemélyes) projektre elhiszem. Hogy is láthatná másvalaki mindazokat a dolgokat, tapasztalatokat stb., amik a srác minden egyes fejlesztési mozzanata mögött ott voltak? Nyilván ha más viszi tovább, akkor másmilyen lesz. Ez nem kérdés. Azt meg ő sem mondta, hogy ez a másmilyen ez rosszabb volna. Csak azt, hogy nem ugyanolyan.

Ja, és ha másvalaki 100x jobban meg tudja ezt csinálni, akkor vajon eddig miért nem tette meg?

> Azt, hogy én mit tettem le az asztalra az senki másra nem tartozik csakis rám.

Aha... de ha másvalaki letesz valamit az asztalra, de egy idő után mégsem tudja folytatni, akkor az máris rögtön hűde nagyon tartozik rád, és nem állhatod meg, hogy ne tegyél rosszalló megjegyzéseket. Jól értem?

Úgy sejtem, nem tőled kapta a pénzt.

Ha egyedül te gyártasz túró rudit, vki fizeti cserébe a megélhetésedet, majd ez a valaki visszavonul, akkor te folytatni fogod a túró rudi gyártását?

Egyébként nem sírt a srác, hanem bejelentette hogy game over. Ennyi. Baromira sajnálom hogy így adódott, de ezért nehogymár ő legyen az elveit feladó, áruló, mégishogyképzeliakis*****... Ja. Ha nincs lóvé, nincs túrórudi. Nincs kéz, nincs csoki... Ez van.

De o nem egyedul van. Vagod? Szerinted hány tíz ezren tudják tovább fejleszteni grsecet. Ha kirugnak a turorudigyarbol ott lesz meg rajtad kivul 19999 munkás aki ugyanugy gyártja a turórudit. Most tegyuk fel ugy hogy 1 turorudi 0 Ft.- :) Hozhattam volna jobb peldat is de nem jutott eszembe.

Ha te csak 1 vagy a 20000 túrórudigyártó alkalmazott közül, akkor hogy a fenébe lehetséges, hogy úgy tudsz besokallni, hogy azonnal a túrórudigyár bezárásáról röppennek fel hírek, megváltozik a nyitó honlap stb.? Ehhez minimum valami nagyon nagyfejesnek kell lenned.

> tegyuk fel ugy hogy 1 turorudi 0 Ft.- :) Hozhattam volna jobb peldat is de nem jutott eszembe.

Lehet hogy 0Ft-ért adod el, de ez tuti nem számít sehol, az számít, hogy 0Ft-ból nem tudod előállítani.

( kisza | 2004. 05. 31., h – 23:38 )

Hali Mindenki!

Megint egy érdekes kérdés - kereskedelmi vagy nem?

Neves gyártó termékével kicsit nehezebben esik meg az lyesmi, mint a hurrá-optimizmus szüleményeivel.

Sajnos ilyen fejlesztések csak addig élnek, amíg az ember fia egyetemista, aztán nagyon nehéz, 'majdhogynem' lehetetlen aktívnak maradni. Egyedüli kiút, ha valaki támogatja a munkáját - vagy olyan munkakört kap, ahol az a feladata, hogy ilyesmit fejlesszen - s időnként leadjon pár részletet a 'köznépnek'.

Egyes régi gazdasági rendszereken alapuló cégeknél természetesen lehetnek még olyan állások, ahol a meló mellett is jut még ilyesmire idő. Megérzésem szerint azonban az ilyen lehetőségek egyre inkább bezáródnak.

A fejlesztést természetesen abba lehet hagyni - s azuátn bárki fel tudja venni a szálat. Ennek azonban általában van egy alapfeltétele, miszerint a fejlesztőnek rendes tervet, doksit kell készítenie. (Látott már ilyet valaki opensource project-nél?)

A fenti temék kicsit pikánsabb. Itt nem elég hagyományos rendszerterv, hanem a biztonsági doksiknak és terveknek is rendben kellene lennie. Ezután nem gond, ha valakinek át kell vennie a fejlesztést,

hiszen a tervek alapján csak egy irány marad.

Természetesen egy összedobált, ötletek alapján random funkciókkal kiegészített valami jövőjét nehéz megmondani, ha kiugrik az ötletgazda, s új lép a helyére.

(Fejlesztőcsoport és kontrolltársaság esetén is összevisszaságot okoz az öteltek szabad áramlása.)

>Egyes régi gazdasági rendszereken alapuló cégeknél természetesen lehetnek még olyan állások, ahol a meló mellett is jut még ilyesmire idő.

nemcsak. Egy kelloen nagy cegnel a rendszergazdai kapacitasokat a gondokra kell meretezni. A cegnek megeri ha az ures idoben az emberei nem a falat bamuljak, hanem olyan dolgokat csinalnak, amik hasznos a ceges munkajukban.

egyes cegek (pl: google) azt is felismertek, hogy hasznos ha az ertelmes alkalmazottaikat idejuk bizonyos reszeben hagyjak, hogy azt csinaljanak amit akarnak. (google-nal heti 1 nap).

Ilyenbol szuletett a news.google.com, az orkut.com, vagy a SUN-nal a JAVA.

>Látott már ilyet valaki opensource project-nél?

Nem láttam még olyan kereskedelmi terméket aminek normális doksija lett volna. Olyan igen, amihez tartozott 50 kilo dokumentáció, de nincs az életemből 3 év amíg végigböngészhettem volna. Raadasul egy jo reszet marketingdroidok irtak, vagyis hasznalhatatlan.

Azok az opensource projektek amik mukodnek hiresen jol dokumentaltak. pl nezd meg a fetchmailt.

( cstamas | 2004. 05. 31., h – 23:53 )

Nem tudom, azért az igazsághoz hozzátartozik hogy:

Anno spender kijenetette hogy több különböző projecthez (pl mingo féle exec-shield) van exploitja de csak a Fedora Core 1 kiadása után adja ki őket (nyílvánvaló hogy szivassa őket). A többit pedig visszatartotta hogy mindig legyen valami a tarsolyában.

Én sajnálom a srácot, és is használok grsec-et és sokszor védett már meg. De azért nem a legkaritatívabb jóindulatú emberről van szó.

(ha valaki tud egy linket a cikkre kösz, talán pont itt a hupon volt róla szó)

Megint egy érdekes kérdés - kereskedelmi vagy nem?

Neves gyártó termékével kicsit nehezebben esik meg az lyesmi, mint a hurrá-optimizmus szüleményeivel.

Nem csak ez a két véglet van... Lehet pl olyan is, hogy kereskedelmi, de nem neves gyártó, vagy inkább úgy írom, h nagy cég [pl. IBM, MS], hanem egy kisebb vállalkozás, ami már korántsem a "hurrá-optimizmus" és az "ember fia egyetemista" kategória.

Node mi van akkor, ha tönkremegy? Ugyanott vagyunk, sőt, esetleg még hátrányosabb helyzetben...

Itt egy utalas a dologra, kesobb sokfele flameltek a temat:

http://marc.theaimsgroup.com/?l=full-disclosure&m=108030430505162&w=2

Btw, egyaltalan nem tartom kizartnak, hogy a tortenet nem ugy nezett ki, hogy a ***** szponzor csak ugy meggondolta magat, ha valaki kovette Brad Spender akcioit, akkor lathatta, hogy kisse labilis szemelyisegrol van szo.

netchan