Трем студентам Массачусетского технологического института (MIT) в судебном порядке было предписано (http://www.eff.org/press/archives/2008/08/09) отменить свое выступление на конференции DEFCON. Подобное решение было принято после обращения в суд компании Massachusetts Bay Transit Authority (MBTA), уязвимостям в продуктах которой был посвящен доклад студентов. В докладе планировалось продемонстрировать слабые места системы оплаты проезда в транспорте города Бостон.
Несмотря на то, что суд запретил какое-либо распространение связанной с уязвимостями информации только в течение 10 дней, по заявлению правозащитной организации EFF (Electronic Frontier Foundation) подобное решение идет в разрез с первой поправкой к конституции США, гарантирующей право обсуждения результатов научных исследований.URL: http://www.eff.org/press/archives/2008/08/09
Новость: http://www.opennet.me/opennews/art.shtml?num=17342
Этот забавный случай только увеличит популярность конференции. В скором времени казино сами будут платить любые бабки за право проводить defcon у себя.
>Этот забавный случай только увеличит популярность конференции.Есть подозрение что контора юзала пресловутый Mifare от филипса (нынче NXP) о дырявости которого не знает только совсем уж ленивый и не умеющий использовать гугл.И наверное конторка неслабо наделала в штаны поняв на сколько бабла потенциально влететь может.Дело в том что это Mifare бывает как сделаный по уму вариант смарткарт (предписаный соответствующим ISO, 4413 кажется или как его там), так и самопальный (проприетарный :D) упрощенный вариант от хвилипса, который почему-то (из-за дешевизны?) очень любят юзать транспортные шараги.Ну а вот это они зря, ибо этот самопальный вариант системы у них в плане безопасности лажа лажей а юзается почему-то повсеместно.Странно только что фрякеры еще не катаются нахаляву повсеместно - видимо тормозят с освоением модных технологий.
гы-гы. Проприетарщики придумали новое средство для "улучшения" безопасности своих продуктов - запрет на обсуждение их надёжности. Светлое будущее дрм и интеллектуальной собственности всё ближе и ближе. Осталось только узаконить спайваре и обязать этим всех пользоваться, что уже частично сделала корпорация майкрософт в своей "ОС" - висте.
>гы-гы. Проприетарщики придумали новое средство для "улучшения" безопасности своих продуктов - запрет
>на обсуждение их надёжности.Да уж.Демократично так.А как же конституция?Первая поправка?Что, все, свободе слова в сша совсем пиндык?Баксами можно пасть заткнуть в обход конституции?А все-равно менее дырявой система не станет.Вообще понимаю когда таким уродам ничего не говорят а просто втихаря начинают нагло юзать дырень.Когда попадалово начинает идти на миллионы за счет тысяч и тысяч халявщиков - они тихо и без вони озаботятся безопасностью системы - там хоть оббегайся по судам, не поможет =)
Ну, осталось этим студентам в инете публично опубликовать эту уязвимость :)
Анонимно :)
Эх и да!!! Студенты-молодцы, а насчет компании видно все, слабаки, раз так боятся за уязвимость, не могут устранить чтоли. А ну да как всегда этож надо скоко бабок
>Студенты-молодцы, а насчет компании видно все, слабаки, раз так
>боятся за уязвимость, не могут устранить чтоли.А нехрен проприетарные (фирменные, б**!) протоколы юзать.Скорее всего чуваки поюзали банальное Mifare и удешевленный фирменный протокол вместо реализации ISO смарткарты(тоже есть в выводке Mifare, но карта сложнее а потому - дороже).Дальнейшее кому оно надо узнается у гугеля.И - да, прикиньте, заменить смарткарты у ВСЕХ ЮЗЕРОВ СИСТЕМЫ - это не ерунда а реальное такое попадалово на много денег и геморроя.Попробуйте ка объявить - чуваки, с завтрашнего дня ваши проездные не действуют!Да вас же закопают и пассажиры и городские власти за саботаж :)
Зачет студентам :) Отличный PR вышел - теперь без работы не останутся!
Ага, не останутся - будут автомобильные номера штамповать, перчатки шить, на токарных станках вытачивать чего-нибудь...
>на токарных станках вытачивать чего-нибудь...Программируемых токарных станках :)
Видно компании было дешевле договориться с судьёй за необходимое решение, чем с студентами за устранение этой уязвимости. Но, как бы не было, я тоже думаю что ребятам бесплатно провели хорошую PR-акцию. Молодцы, так держать. Давай бесплатный проезд в транспорте города Бостон. :)
Демократия ж, свобода слова и т.д. :)
Привет самой "демократичной" стране в мире
Комменты: компании испугались студентов.
Никто никого не испугался, это нормальная реакция нормальных людей на действие ненормальных хакеров, бравирующих своими "неограниченными" возможностями и своей безнаказанностью.Это закат эпохи хакеров. Если раньше (когда интернет был игрушкой для гиков) искать уязвимости в чужой системе и распространять способы её взлома было весело и круто, то сейчас - это преступление, поскольку затрагивает коммерческие интересы компаний. Как вы будете относится к человеку, который каждый день подходит к вашей квартире (или к машине), и проверяет, не забыли ли вы её закрыть, а в случае если забыли, громко сообщает об этом окружающим. Не думаю, что от вас он услышит слово "спасибо".
> Комменты: компании испугались студентов.Ну так и есть, видать их ПО - откровенная халтура откатного типа.
>Никто никого не испугался, это нормальная реакция нормальных людей на действие ненормальных хакеров, бравирующих своими "неограниченными" возможностями и своей безнаказанностью.
И конституция не нужна, главное что реакция "нормальная", по понятиям. Полная демократия.
>Это закат эпохи хакеров.
Их уже лет 30 нет.
>Если раньше (когда интернет был игрушкой для гиков) искать уязвимости в чужой системе и распространять способы её взлома было весело и круто, то сейчас - это преступление, поскольку затрагивает коммерческие интересы компаний.
Это затрагивает коммерческие интересы компаний и частных покупателей ПО. Но поскольку твоё мнение куплено м$ или RIAA или похожий организацией, то ты не думаешь ни о чём, кроме интересов своих хозяев.
>Как вы будете относится к человеку, который каждый день подходит к вашей квартире (или к машине), и проверяет, не забыли ли вы её закрыть, а в случае если забыли, громко сообщает об этом окружающим.
Действительно, не очень приятно когда под видом мор секюре анд релайбл, впаривают замок, отрывающейся отвёрткой. Хочется об этом знать и делать выбор согласно фактам, которые так тщательно хотят скрыть проприетарщики от остальных.
>Не думаю, что от вас он услышит слово "спасибо".
Те, кто наживается, впаривая некачественное( как твоя организация), не скажут. Остальные скажут. Возможно и пересмотрят свой выбор в пользу решений, основанных на свободном ПО.
>Это затрагивает коммерческие интересы компаний и частных покупателей ПО. Но поскольку твоё
>мнение куплено м$ или RIAA или похожий организацией, то ты не
>думаешь ни о чём, кроме интересов своих хозяев.
>Те, кто наживается, впаривая некачественное( как твоя организация), не скажут. Остальные скажут.Забавно, теперь оказывется, я не только виндузятник (хотя это не так) и что мой мозг хорошенько промыли ребята из RIAA и MS (что тоже не так). Теперь я мать твою состою в некоторой тайной организации, ведущую подрывную антихакерскую пропроприетарную (забавное слово получилось) деятельность в угоду своих "хозяев". Да это в самом деле так, и Мы вас вычислили. Ждите, завтра ночью за вами приедут...
>состою в некоторой тайной организации, ведущую подрывную антихакерскую пропроприетарную (забавное слово получилось) деятельность в угоду своих "хозяевНе, очередной пиар-клоун от мс и со.
>[оверквотинг удален]
>>мнение куплено м$ или RIAA или похожий организацией, то ты не
>>думаешь ни о чём, кроме интересов своих хозяев.
>>Те, кто наживается, впаривая некачественное( как твоя организация), не скажут. Остальные скажут.
>
>Забавно, теперь оказывется, я не только виндузятник (хотя это не так) и
>что мой мозг хорошенько промыли ребята из RIAA и MS (что
>тоже не так). Теперь я мать твою состою в некоторой тайной
>организации, ведущую подрывную антихакерскую пропроприетарную (забавное слово получилось) деятельность в угоду
>своих "хозяев". Да это в самом деле так, и Мы вас
>вычислили. Ждите, завтра ночью за вами приедут...Вы, друг мой, говорите ерунду. Даже более того, Вы несёте маркетенговый бред, в котором нет здравого смысла вообще. Именно по этому Вас и подозревают в промытости мозга.
Разговор идёт, оговорюсь, о Вашем первом посте.
Видете ли ли, дело в том что есть 2 способов борьбы с проблемами -
1) Лёгкий. Закрыть на проблему глаза. Эффективность его весьма сомнительна. Но в силу лёгкости он очень любим некоторыми недобросовестными корпорациями. Не тольк M$, кстати.
И очень любим в России. Настолько любим, что его выставляют чуть ли не как один из самых правильных. Увы.
2) Тяжелый, но эффективный. Устранить проблему.Применительно к продукции (любой) это означает также и качество проработки и тестирования продукта. Т.е. устранение проблем ещё ДО того, как они проявятся.
Так вот.
Если некая компания выбирает путь №1 и экономит как на R&D, так и на тестировании (которое есть часть R&D), но при этом хочет бабок за своё поделие, а если кто-то указывает (публично) на не качественность этого самого поделия - подаёт в суд на злобного гада-хакера (нарушая при этом конституцию страны, ага) то это всё как-то очень невкусно пахнет, знаете ли.
И это не злые хакеры бравируют своей безнаказанностью, как Вы пафосно (но бездумно) написали, это компания бравирует своим правом выпускать гуно и выдавать его за карамельку.
Безнаказанно.
Задумайтесь над вопросом с этой стороны. Хотябы ради интереса.
>Забавно, теперь оказывется, я не только виндузятник (хотя это не так)Аноним, где такой травы берешь?Отсыпь и мне, а? :)
>>Как вы будете относится к человеку, который каждый день подходит к вашей квартире (или к машине), и проверяет, не забыли ли вы её закрыть, а в случае если забыли, громко сообщает об этом окружающим.
>
>Действительно, не очень приятно когда под видом мор секюре анд релайбл, впаривают
>замок, отрывающейся отвёрткой. Хочется об этом знать и делать выбор согласно
>фактам, которые так тщательно хотят скрыть проприетарщики от остальных.Замки уважаемый,как известно существуют от добрых людей... Злые люди взломают любой ваш замок.
Сам факт что был взломан замок -не важно насколько этот замок крепок (просто табличка висит - не входить!!!) - должен служить основанием для наказания. И человек шатающийся по окрестностям и кричащий что у когото замки слабее чем у остальных и ктото забыл закрыть дверь - совершает подлость.
>Замки уважаемый,как известно существуют от добрых людей... Злые люди взломают любой ваш
>замок.Да, но с разными моделями замков и дверей объем траха очень разный.Одни двери открываются просто пинком, а с некоторыми другими потребуется неделю дрочить болгаркой и сваркой или полдня работы элитного профи по вскрытию замков.И обсуждение вида "замки фирмы X г-но, потому что открываются спичкой!" ничему такому не противоречит.Даже если фирме X с их г-ном это и не по душе, свобода слова на то и создана чтобы выводить халтурщиков на чистую воду.
>Сам факт что был взломан замок -не важно насколько этот замок крепок
>(просто табличка висит - не входить!!!) - должен служить основанием для
>наказания.Это факт.Важен факт что замок сломали.Правда вот если вы не заперли дверь а кто-то сдуру заперся в нее - ну извините.А где вы видели надписи "хакать нашу систему нельзя!" и вообще хоть какое-то соглашение по использованию транспортных систем?Как максимум на проездном написано что его подделка дескать незаконна.Так перезапись на него информации в общем то подделкой не является - проездной то самый что ни на есть оригинальный.
>И человек шатающийся по окрестностям и кричащий что у когото
>замки слабее чем у остальных и ктото забыл закрыть дверь -
>совершает подлость.А теперь представьте.Есть банк.Вы отнесли туда ваши денежки.А потом узнаете что двери там открываются пинком, замки декоративные, охранник - пьяница, который на работе спит, у инкассаторов темное прошлое, к базе данных кредиток доступ к кого попало, ну и все такое.Допустим, его (или соседний) даже по этой причине ограбили уже несколько лет назад, слили базу карт, и обули клиентов или создали им массу головняка.Вы честно пытаетесь сказать другим что использовать такой банк, дескать, чревато - у них система безопасности дескать, дрянь!А теперь представьте себе что банк вместо того чтобы поставить нормальные двери, нанять вменяемую охрану, укрепить хранилищще и привести БД в порядок будет просто затыкать вам рот.Ибо так - проще и дешевле.Вам это понравится?Ну вот в данном случае именно такая ситуация.Хилость некоторых RFID систем общеизвестна всем кто этим интересуется.Поэтому fraud - будет.И по-моему, чем быстрее сменят халтурные системы на нормальные - тем меньше все от этого пострадают в глобальном плане.Потоум как у остальных контор появится стимул посмотреть как защищены их системы.А у половины, кстати, поганенько весьма...
>каждый день подходит к вашей квартире (или к машине), и
>проверяет, не забыли ли вы её закрыть, а в случае если
>забыли, громко сообщает об этом окружающим. Не думаю,
>что от вас он услышит слово "спасибо"."Спасибо" не услышит. Но я признаю его право так поступать.
И запретить ему проверять и сообщать я ни по каким законам не могу. Ни по юридическим, ни по моральным. А даже если бы и мог - не стал бы.Кроме того, тут немного другая ситуация: если человек при обнаружении открытой двери сначала сообщает хозяину, а только потом - всем остальным, то это всецело проблема хозяина, что он даже после предупреждения дверь не вернулся и не закрыл. Сам себе дурак. Но это не важно, на самом деле. Основную мысль я в первом абзаце выразил.
Трогать мою квартиру или машину, закрытую или открытую, я имею право запретить любому. В демократическом обществе это право реализуется через суд.
>Трогать мою квартиру или машину, закрытую или открытую, я имею право запретить любому. В демократическом обществе это право реализуется через суд.никто не будет трогать вашу машину .. мыкупим себе такуюже .. и скажем если потрогать её вот так то будет херня .. а уж если те кто продал вам машину .. будут бузить .. посылать далеко ..
>Трогать мою квартиру или машину, закрытую или открытую, я имею право запретить
>любому. В демократическом обществе это право реализуется через суд.Что значит запретить? Может ты мне запретишь в туалет ходить.
Признание собственности есть результат общественного договора. И не более того.
Как ни жаль эти твои запреты не имеют силу законов природы. Потому расслабься...
>Это закат эпохи хакеров. Если раньше (когда интернет был игрушкой для гиков)
>искать уязвимости в чужой системе и распространять способы её взлома было
>весело и круто, то сейчас - это преступление, поскольку затрагивает коммерческие
>интересы компаний.Отлично. Защищаем право барыг ЛГАТЬ о продаваемой (вами - покупаемой) услуге или товаре - т.е. право на прямой обман покупателя о свойствах покупки (здесь услуга - проезд в метро, в той части, где речь о надежности аутентификации).
Продажа на протяжении веков была связана с обманом. Торговец никогда не скажет по какой стоимости он сам брал товар.
>Продажа на протяжении веков была связана с обманом. Торговец никогда не скажет
>по какой стоимости он сам брал товар.не путайте торговец и спекулянт
>Комменты: компании испугались студентов.
>Никто никого не испугался, это нормальная реакция нормальных людей на действие ненормальных
>хакеров, бравирующих своими "неограниченными" возможностями и своей безнаказанностью.
>Нормальная реакция нормальных людей, устранять обнаруженные проблемы безопасности. Я мы на месте этих "нормальных" людей пригласил был этих ребят к себе на работу, а не судился.
А так совершенно очевидно, что это, как тут справедливо заметили, коммерческая фирма откатного типа, у которой бюджеты на исправления проблем безопасности не предусматривались. Похоже им оказалось проще подать в суд, чем снова собирать команду разработчиков, которые наверняка уже работают в других местах.
>Это закат эпохи хакеров.
Судить по кучке незадачливых комеров о закате эпохи, это круто. Это примерно как судить о закате рассвета по тому, потому что кто-то не выспался. :))
>Если раньше (когда интернет был игрушкой для гиков)
>искать уязвимости в чужой системе и распространять способы её взлома было
>весело и круто, то сейчас - это преступление, поскольку затрагивает коммерческие
>интересы компаний.Коммерческие интересы компаний - это их личное дело. И тем более они не могут превалировать над общественными интересами даже в американской судебной системе.
Проблемы безопасности подобной системы может блокировать работу общественного
транспорта города, что чревато убытками, по сравнению с которыми коммерческие
интересы одной компании просто меркнут.>Как вы будете относится к человеку, который каждый день
>подходит к вашей квартире (или к машине), и проверяет, не забыли
>ли вы её закрыть, а в случае если забыли, громко сообщает
>об этом окружающим. Не думаю, что от вас он услышит слово
>"спасибо".Лично я буду нормально относиться к человеку. В конце-концов он объявляет об этом публично, и мне тоже. В нормальном обществе если кто-то что-то не закрыл, большинство
не кидается мародерствовать.
>А так совершенно очевидно, что это, как тут справедливо заметили, коммерческая фирма
>откатного типа, у которой бюджеты на исправления проблем безопасности не предусматривались.Тут ситуация (теоретически, я не в курсе, просто предпологаю) может быть несколько другой. Предположим (а скорей всего так и есть), что там завязано не только на софте, но и на железе. Отсюда вывод, что в короткие сроки невозможно устранить проблему...
ЗЫ но это их все равно не оправдывает...
>не только на софте, но и на железе.Видали как сделаны такие системы оплаты транспорта?RFID карты, ридеры, ну и прочая.Если при создании системы схалтурили в надежде сэкономить и купили примитивные RFID карты с упрощенной аутентификацией и т.п. - это попадалово.Если фирмварь ридеров перешить реально, так что они в принципе могут работать с чем угодно, совместимым по RF параметрам, то вот дешевые карточки предмет тупой и их придется просто выкинуть у всех клиентов и выдать клиентам новые карты, при том - более дорогой и надежный вариант.А это уже реальное такое попадалово.На оравы злющих юзеров кульной системы которым на ровном месте отсыпали геморроя и на мноооого денег.
> В нормальном обществе если кто-то что-то не закрыл, большинство не кидается мародерствовать.Ураган "Катрина" показал, что в США при отсутствии полиции значительная часть людей именно кидается грабить и насиловать.
> Как вы будете относится к человеку, который каждый день подходит к вашей квартире (или к машине), и проверяет, не забыли ли вы её закрыть, а в случае если забыли, громко сообщает об этом окружающим. Не думаю, что от вас он услышит слово "спасибо".Ребята дают знать компании, что дела с безопасностью не в порядке, и делют это официально, на конференции. Компания должна сказать спасибо, ей бесплатно указали на это.
Если компания не делает надлежащих выводов, читай не собирается устранять уязвимость, то возникает вопрос об адекватности как управляющего так технического персоналов.
>то сейчас - это преступление, поскольку затрагивает коммерческие интересы компаний. Как вы >будете относится к человеку, который каждый день подходит к вашей квартире (или к машине), >и проверяет, не забыли ли вы её закрыть, а в случае если забыли, громко сообщает об этом >окружающим. Не думаю, что от вас он услышит слово "спасибо".Sony подводят плачевные итоги происшествия. Ноутбуки с воспламеняющимися батареями продавались под брендами Dell, Apple, IBM, Lenovo, Toshiba, Fujitsu, Hitachi, Sharp и Sony. Всего на данный момент ОТОЗВАНО 9,6 млн. единиц батарей на общую сумму $430 млн.
Ты бы хотел, что бы у Тебя ноутбук взорвался?
http://gizmod.ru/files/2059/image.jpgТы думаешь, что те кто потратил мало денег на технологию и получил за неё много денег - должен дальше прикрываться задницами клиентов?
> гарантирующей право обсуждения результатов научных исследований.Я исследовал и обнаружил вирус Pavlinium, - Птичкин грипп ,СПИД, Эбола и Сибирская язва просто отдыхают.
Этот вирус выживает и активно развивается при температурах от -271 до +1500, радиации до 1500 рентген/час,
в кислотных и щелочных средах популяция увеличивается с удвоенной скоростью, например в 100%-м растворе
Плавиковой, Соляной, Азотной кислот, а так же в "Царской водке". У вируса внутрений обмен веществ, по этому он может существовать в вакууме.
Распространяется вирус, воздушно-капельным путём, через кровь, через кишечный тракт, проникает через кожный покров.
Скоро лечу в пионерский лагерь "Ромашка" от мин. здравоохранения, для детей мед. работников.
С рассказом о получении и способов изучения вирусов на примере данного. :)В слёте примут участия делегации из дружественных стран Ливана, Йемена, Ирака, Саудовской Аравии, Пакистана, Украины, Грузии...
К обсуждению приглашаются все желающие.
P.S.
Как вы думаете, насколько метров я отойду от двери квартиры :)
>>P.S.
>>Как вы думаете, насколько метров я отойду от двери квартиры :)
>
>Сколько юридических лиц в сфере производства ДНК, подверженных найденной вами уязвимости, насчитывается
>в мире, какова номенклатура их изделий, каковы их совокупный оборот и
>вклад в ВВП?Как пробирка на метро Охотный ряд, в 9 утра упадет, через месяц узнаем.
>В слёте примут участия делегации из дружественных стран Ливана, Йемена, Ирака, Саудовской
>Аравии, Пакистана, Украины, Грузии...
>
>К обсуждению приглашаются все желающие.Я хочу прийняти участь від України :)
Ты знаешь, я уже боюсь. Результат налицо :)
>P.S.
>Как вы думаете, насколько метров я отойду от двери квартиры :)Если перед этим ты уведомил Минздрав, ФСБ, МВД, Правительство и никто не почесался ответить или поговорить с тобой... ты доедешь до пионерлагеря :) (только ИМХО лагерь будет другим... непионерским)
>каждый день подходит к вашей квартире (или к машине), и
>проверяет, не забыли ли вы её закрыть, а в случае если
>забыли, громко сообщает об этом окружающим. Не думаю,
>что от вас он услышит слово "спасибо".Здесь речь идет не о праве частной собственности. Дело в том, что фирмы ПРОДАЮТ заведомо некачественный товар, который может ударить по карману пользователя ( та же блокировка проездного). Причем в каждой цивилизованной стране есть специальные гос. службы, которые должны воспрепятствовать продаже таких товаров. Так что решение суда для меня выглядит полным абсурдом.
1) Суд имеет право наложить запрет на разглашение на срок, достаточный для устранения уязвимости.2) Особенно если в суд подаст потребитель дефектного продукта (а не производитель).
