23.12.2013

Интересный кейс: позитивное vs этичное

Вот ведь как бывает – думаешь: закрою год и напишу что-нибудь гуманистическое и общеукрепляющее. Не в этот раз.

Одна компания специализируется на оценке защищенности. Список клиентов, естественно, висит на сайте.

И выпускает она отчет: три четверти наших клиентов вскрывается извне с небольшой квалификацией, 90% успеха дают подбор паролей и уязвимость протоколов канального/сетевого уровней, еще 75% открытые протоколы, 60% sql-инъекции, половина роутеров с простыми комьюнити и т.п.

Как говорится, велкам! Список, напомню, по-прежнему на сайте.

На жаргоне это наводка. Попробовали бы авторы на себя примерить. Автодилер, скажем, выложит номера прошедших ТО рядом с исследованием, что у 75% тросик открытия капота банально под правым локером спрятан. Или школа пусть напишет, что 40% учеников даже младших классов родители не забирают.

Хакинг сбивает нравственные ориентиры независимо от целей выполнения, это факт. Ментов тоже так среда портит, а вообще-то они хорошие.

4 комментария:

Sergey Gordeychik комментирует...

Мммм.... А еще ужас-ужас, это статистика болезнев. Особенно региональная, ведь тогда можно узнать что с вероятностью 0,05 что житель деревни Гадюкино Петросов имеет нехорошую болезнь. Не говоря уже о персональных данных, может и они в опасносте?!!
Я побоюсь даже думать про такие источники как Verizon Data Breach, или результаты проверок регуляторов, где прямо и пишут кто ЗПД нарушает. Этож открытые врата для суровых челябинских хакеров, 152 ФЗ он же про безопасность?
Есть еще ужасная штука, SANS top 20/Critical Control. Прям бери и ломай кого хочешь на основе передового опыта...

Про конкретных этих парней все верно, за исключением того, что на сайте 1500 клиентов, а в статистику вошли 10. Тервер?




Ригель комментирует...

А точность не имеет значения, сам факт. Смотри. Допустим, что дилер твоего автомобиля идентифицируется - у тебя на рамках написано, или шильдик на пятой двери приклеен.
И вдруг он распространяет, что три четверти его клиентов - лохи: запасной ключ под солнцезащитным козырьком, документы под ковриком, это вот все.
Вот не имеет значения, ты из этих трех четвертей, или из четвертой, или вообще в выборку не вошел. У тебя возрастает вероятность попытки угона и соответственно угона.

Denis Muravyev комментирует...

"Наводка" на 3/4 компаний - это не "наводка" имхо. Мне кажется, что такие отчеты наоборот полезны - а то у многих компаний ложное чувство защищенности.

Ригель комментирует...

Наводка на несколько десятков компаний (среди которых три четверти лохи, но неизвестно кто) из нескольких миллионов, числящихся в ЕГРЮЛе - это 0.0000025/4.

Отправить комментарий