Odobrio: kost. Napisao: rado.
Eto baš bijah zaflejman u Bugtraqovoj security-basics mailing listi, pa pomislih da bi bilo zgodno o toj temi popričati i ovdje...
Naime, jedan od čitatelja postavio je pitanje opravdanosti anonimnog pisanja po security mailing listi - je li to Ok, kako ljudi reagiraju, itd... na što sam iznio svoje mišljenje da to nije Ok i bio lagano zaflejman u roku nekoliko sati od odlaska posta na listu.
Nakon polusatnog tuširanja aparatima za gašenje požara, još stružući ostatke izgorenog napalma s leđa te poleđnice, sjedoh tako ispričati zašto mislim da anonimno pisanje na security mailing listama nije Ok, pa nek se namjeri junak na junaka - dok ovo bude objavljeno, već ću nabaviti flame shieldove... Anonimnost na security mailing listama, po meni, nije dobra stvar. Dok je riječ o običnim Internet servisima poput ovog na www.linux.hr anonimnost je sasvim Ok, ali kad je riječ o sigurnosti, ovakvoj ili onakvoj, nisam sklon skrivanju. Opet, anonimnost je ponekad potrebna - otkrijete problem i želite ga riješiti, ali nitko ne smije znati da ste to baš vi, jer ste negdje zabunom/namjerno upali i želite pomoći ljudima riješiti problem, ili vam pak company policy ne dozvoljava odavanje problema s mrežom a vi ne znate kako dobiti pomoć, ili neki treći razlog... S druge strane, tko želi nauditi i želi naučiti kako to učiniti - lešinarit će oko security mailing lista jer zna da će tamo naći svježeg materijala, a uz malo socijalnog inženjeringa i doznati kako nešto učiniti. Bez izuzetka (izuzmemo li tipove poput Vice Strašnoga) će se pobrinuti zametnuti tragove. Jedan anonimni post tipa "bojim se da na mreži imamo ovakav problem, kako da provjerim jesmo li ranjivi?" može privući dosta dobronamjernih da daju prilično detaljne upute koje će maliciozac iskoristiti da bi nekoga napao. I što tu učiniti? Nitko od nas nema šesto čulo (dobro, osim možda Vida, ali i on to ima za nešto drugo) kojim bi otkrio namjere anonimnog postera. Netko će reći kako ga je baš briga što je ovaj učinio s podacima koje mu je dao, no niti to nije odgovorno ponašanje. A s druge strane, biti paranoičan i ne dati podatke nikome tko bi bio i najmanje sumnjiv isto tako nije previše produktivno. Ili pak birati par/nepar? Osobno sam stava da treba biti malo paranoičan i izbjegavati davati anonimnim posterima odgovore koji su imalo stručniji od onog što bi bilo razumno i posve neopasno dati, ali time upadam u skupinu paranoika koji bi mogli odbiti pomoći nekome kome je pomoć stvarno potrebna. No time se osiguravam da neću jednog dana biti suoptuženik za provalu u nečiji sustav. Ali zato ću biti napadnut na mailing listi da sam konzervativan i da kako ću ikad znati je li osoba koja se predstavlja prava osoba ili nije... na kraju krajeva, nitko od nas zbilja ne zna je li osoba ta koja se predstavlja ili je riječ samo o još jednoj fakeanoj adresi... Pa smo došli do pitanja - kome uopće vjerovati? Ponovo paranoičan, sklon sam - kad je security u pitanju - ne vjerovati nikome koga osobno ne poznajem, no time sam sebe ograničavam u opsegu pomoći prilikom nevolje. IMHO, čovjek koji me zaflejmao zbog mog posta nije bio u pravu, jer mislim da pričanje o sigurnosti sustava, svog ili tuđeg, na nivou većem od generaliziranja - je isto što i lijepljenje plakata s informacijama na sred glavnog gradskog trga.
|
