вторник, 29 мая 2012 г.

Пресс-релиз в ИБ индустрии как красная тряпка для script-kiddies.


Пресс-релизы в сфере ИБ тема тонкая. Так пример:

http://www.securitylab.ru/news/425086.php

Цели такого дела ясны:

ВГТРК - "мы защищаем своих пользователей и печемся об их безопасности".
Другие - "мы крутые услуги поставляем и спасаем пользователей ВГТРК".

Но с другой стороны, я взял и зашел на сайт vgtrk.com и ради фана потратил ровно 2 секунды, чтобы поиграться с параметрами данного ресурса, как любой порядочный скрипт-кидди. Тут же всплыла SQL инъекция. Дальше я даже ничего смотреть не стал (и естественно я ничего не ломал и не похищал, я законопослушный гражданин). Мне, как пользователю, не интересно кто там и что делает, что за какие деньги продает и внедряет. Реально безопасность основного внешнего ресурса ВГТРК - отсутствует. Просто  и грязно. И мое внимание привлек именно пресс-релиз, так то я бы туда и не зашел. Другие, кстати, подхватили инициативу:

"@/*__CENSORED__*/:
там что-то страшное %) 40 БД под оракалом, 412 пользователей этих БД..."

Нет, я понимаю, что всякие ИБ процессы, это вам не кавычку в запрос в ставить - это сложные, дорогостоящие работы, проекты и контракты 8) Я не фанат теорий заговоров и распилов, но это же просто забавно, а главное подсознательно снижает доверие ко всем лицам данного проекта.

Дополнительный факт: та штука, что была внедрена в ВГТРК, прекрасно находит такие проблемы как SQLi. И это лишь дополнительно вызывает вопросы 8))

P.S. Пост нужно расценивать не как призыв к хактивизму, а именно как призыв оценить одну из проблем отечественной сферы ИБ...

3 комментария:

  1. Как я уже писал, ВГТРК ничего не спасет :D
    ибо кодеры криворукие у них.

    ОтветитьУдалить
    Ответы
    1. Смысл немного не в этом. То есть сама проблема не в том, что там есть бага сама по себе.

      Удалить