> нет, котлеты в кухне. но даже если вплотную к двери — они *с моей стороны двери*.Нифига, стоят на проходе, точняк посередине между хатой и улицей. И двери - нет. Ибо где ваш фаер/ACL/авторизация/...? Если ресурс общедоступен - значит уж общедоступен.
>> что это в целом достаточно враждебная внешняя среда, в которой попытки взлома неизбежно будут.
> нет, не соглашаюсь. навязаный договор ничтожен.
А никто с тобой не собирается договоров заключать. Механическим "терминаторам" по большому счету не требуются никакие договоры. Даже если они работают на какого-то серого кардинала, которого хрен найдешь.
> поэтому любой «хэт» — нарушитель. мне пофигу, делает ли он это для себя, «во имя
> науки» или «для моего же блага»: бить следует совершенно одинаково.
Тогда ты получишь просто армии ботнетов, которые есть, работают, используют то что плохо лежит, забыв тебя спросить можно ли им. Если получил доступ - значит можно. Чисто физически. А что там по закону - так поди найти того серого кардинала который за этим стоит. Поскольку обеспечить наказание становится нереально - на твои возмущенные блеяния по поводу использования ресурсов можно попросту забить. И за это ничего не будет, что характерно. Но да, производители будут рады: их не будут прессовать даже за откровенный "джамшутинг". А как по мне - такая конфигурация железки как менеджмент-софт с стандартным паролем на WAN интерфейсе по уму вообще попадает под "преступную халатность". И первым делом надо выпороть тех кто это вообще позволил.
Ну, понимаешь, если по улице ездят хз чьи роботы и заезжают везде где не заперто и что-то берут - ты конечно можешь требовать поимки владешьца, но именно блекхэты догадываются о том что при поимке им светит. И поэтому ловиться очень не стремятся. В отличие от более честных персонажей, которые честно указывают на проблему вместо получения серо-кардинальской властишки на неопределенный срок.
>> Что предлагается то? Воздать гражданину как тем кто содержит боевые ботнеты?
> и это *в том числе*. мне пофигу, навалили мне кучу просто из
> вредности, или «чтобы я задумался». я об аудите не просил, и
> потому это был не аудит, а незаконное проникновение.
Гражданин показал проблему. В отличие от му...ков, которые просто втихаря собрали ботнет и втихаря его юзают для спамов, ддосов и прочая, без палива загребая бабло лопатой вместо научных изысканий. Иди, накажи этих ботнетчиков, ага. Их по логике надо бы наказать первыми и жестче. За более деструктивные действия относительно чужих хостов, которые они атаковать изволили. Вот только серьезно настроенные блэкхэты как ты понимаешь, емэйлов для связи не оставляют и вообще забывают представиться. Работает какая-то автоматизированная хренота, а кто ей рулит - при правильном подходе вредителей к делу ты вообще никогда не найдешь.
>> боевые экспонаты.
> поэтому если в переулке меня побьёт не гопник, а «security researcher», я
> должен бурно радоваться?
Если ты пришел на стройку (потенциально опасный объект) - изволь одеть каску. Иначе - да, случайно упавший сверху мусор может проломить тебе череп. Забыв у тебя спросить что ты по этому поводу думаешь. Ну вот сеть уже давно "потенциально опасный объект". Где автоматические атаки (падающий с высоты мусор) - норма жизни, в чем можно убедиться почитав логи различных демонов. Кто стоит за этими атаками - ты в общем случае никогда не узнаешь. И по этой причине воздаяние они не получат. А раз так то им нет смысла бояться этого воздаяния. Как по мне - хорошо что кто-то не дает раздолбайским производителям тихо заметать мусор под ковер, на радость более злобно настроенным ботнетчикм, которые забывают представиться но зато не забывают взять и у...ть своим ботнетом что-нибудь, грубо срывая нормальное функционирование узлов сети.
IMHO задача должна стоять направить это явление в конструктивное русло а не деструктивное, как раз стимулируя исследователей не прятаться, публиковать результаты и получать вознаграждение за добровольный отказ от достаточно большой власти и денег которые они могли бы с этого получить будучи блэкхэтами. Несомненно, можно создать и обратный стимул. Тогда мы получим усугубление того что есть сейчас - атак автоматических дронов будет все больше и больше и никто не будет знать не только кто за этим стоит но и как и почему это вообще происходит.
>> Загрeбая на этом бабло лопатой и нисколько не боясь поимки, т.к. при грамотном
>> подходе там вообще концов не найдешь. Это будет лучше?
> это без разницы.
Очень большая разница. Если нет неотвратимости наказания - на него всем ПО-ХРЕ-НУ. Поймать ботнетчиков - редкая удача. Попадаются только самые тупые и наглые. Так что если ты хочешь простимулировать анонимные автоматические атаки фиг знает откуда - да, показательно линчуй парочку грэйхэтов. И все остальные нет, не забьют на это ремесло, даже и не надейся. Они просто станут откровенными блэкхэтами. И будут по прежнему юзать ресурсы которые плохо лежат. Просто забыв прислать емыл для связи, представиться и рассказать о методах работы.
> незапрошеный «аудит» обычно называют «проникновение со взломом».
Нормальные люди говорят спасибо, если ничего не пропало и устраняют проблему. М...ки прут на принцип. После чего остальные делают вывод и в следующий раз вместо дружелюбного человека прилетает бездушный автоматический дрон, который рассматривает прицнпиального кретина исключительно как источник ресурсов, а на кого работает - сообщить вообще забывает. Вариант.
> со всеми вытекающими. если бы человек вместо того, чтобы строить ботнет,
> просто ограничился бы отправкой письма (нет, не оставлением письма внутри
> роутера — это опять «проникновение с»)
Технически нереализуемо. Вот видишь ты айпишник. Динамический. Хомяковый. Видишь там дырявый роутер. Внимание, вопрос: на какой мыльник хомяку слать мыло? И как его узнать? Методом телепатии?
В уголовной практике не преследуют тех кто добровольно сдал оружие. Думаю что к ботнетчикам надлежит применять тот же принцип. Чтобы сдавали найденное "оружие" хоть иногда. А если тебе по любому впаяют - зачем же ты как дурак понесешь сдавать найденный арсенал? Тогда проще его слить на черный рынок. Угроза люлей - одинаковая, а профита во втором случае явно больше. Вот так вот тупым подходом к применению законов можно некисло простимулировать ... криминальную активность. А оно и правда надо?
> — тогда ок, никаких претензий. а в данном случае по пистолету: влез — получи и распишись.
Не, пардон, УК делает большое различие между тем кто добровольно принес найденный пистолет и тем кто этого не сделал. И это логично. Иначе найденные пистолеты вообще приносить перестанут. Зато черный рынок будет рад, не отнять.