[FreeBSD] [crow at kapu.hu: Re: lil' exim format bug]

[bishop]

Adam Szilveszter wrote:

nos, nekem 2 megallapitasom lenne:

1) a legtobb exploit ugy keletkezik hogy <grep tipikushiba, megnez sor,
megir exploit>
   en eleve keptelen vagyok felfogni hogy a fejlesztok mert nem kepesek
a sajat 
   kodjukat atnezni es kijavitani... de ez ilyen filozofiai kerdes, nem
szeretnek 
   threadet belole.

> tudatossag nem parosul azzal, hogy megertsek: itt nem a menozes a lenyeg.
2) a menozeshez annyit fuznek hozza, hogy szerintem a legtobb egyesulet
(linux, bsd,
   security, ...) tagjai tipikusan menozo taktikat folytatnak. jol
lathato ez akkor
   mikor valaki feltesz egy trivialis kerdest, majd mindenki nagy boszen
valaszol
   valami faq/howto-bol kiollozott valaszt, hogy igy hirnevre tegyenek
szert.
   miez ha nem menozes? (persze _tisztelet a kivetelnek_, mert
szerencsere van)

   security temaban a legjellemzobb ez amugy. kerdezel, majd olyanok
valaszolnak akik
   meg eletukben nem irtak block-kodolot, nem tudjak mire jo a hash
fuggveny, mik az 
   RSA matematikai alapjai vagy eppen gozuk sincs rola hogy kell egy
spoofolt ethernet
   packetet kikuldeni... >;)
   
szoval az ilyen ``arcok'' eddigi tapasztalataim alapjan segitokeszek es
kepesek
nemtrivialis problemakat is megoldani. az meg hogy szeretnek a
BUGTRAQ-ra releaselni
talan a gyengejuk, vagy epp belefaradtak abba hogy a fejlesztok nem
valaszolnak a 
leveleikre es meg se probaljak...

megegy dolog amit hozza kell tenni: mire egy exploit kijon a BUGTRAQ-n
addig underground
korokben legalabb 1-2 eve hasznaltak mar...

-
.--..-..---..-. .-..----..---. --- Zagonyi Levente [bishop] ----.
|-< | | \ \ | |=| || || || |-' <bish at inf.elte.hu> iRC: #coders.hu
`--'`-'`---'`-' `-'`----'`-' http://vali.elte.hu/~bish * w00! _.: