Nytro Posted March 3, 2016 Report Share Posted March 3, 2016 Competență sau fraudă? Cristian Șerban Application Security @Betfair PROGRAMARE În urmă cu zece ani la universitatea unde eram student s-a organizat o miniconferință de securitate. Pentru a fi mai interesant, organizatorii au creat și o pagină de înregistrare care urma să fie deschisă pentru a accepta înscrieri începând cu ora 12 la o anumită dată. Mă pasiona domeniul și mi-am dorit să particip. Mi-am dorit să mă înscriu printre primii pentru a-mi asigura locul și mai ales că au promis că dau câte un tricou la primii 20 de participanți care se înscriu. La vremea respectivă eu lucram ca programator angajat full time și deja adunasem ceva ore de lucru în tehnologia folosită pentru dezvoltarea paginii de înscrieri. Așa că nu mi-a luat mult timp să descopăr o vulnerabilitate și să reușesc să o exploatez în timp util. Am reușit să mă înscriu puțin mai înainte de ora oficială. În următoarea zi m-am prezentat la conferință la intrare, am salutat politicos, mi-am spus numele, colegul m-a cautat pe listă și m-a găsit destul de ușor. Am tras puțin cu ochiul: eram primul 11:58. Perfect. Uimit puțin, acesta a zis: "Ah tu ești ăla, cum ai reușit?". La întrebarea mea dacă primesc un tricou, el a răspuns că nu, dar că o să primesc ceva mai bun. În timpul conferinței m-a anunțat public și mi-a înmânat drept premiu cartea "Writing Secure Code" a lui Michael Howard și David LeBlanc. Articol complet: http://www.todaysoftmag.ro/article/1250/competenta-sau-frauda Cred ca e util ca indrumare. 4 Quote Link to comment Share on other sites More sharing options...
QuoVadis Posted March 3, 2016 Report Share Posted March 3, 2016 Lucrurile, in fiecare situatie, nu sunt atat de albe si negre (competenta sau frauda), ci in functie de conjunctura. Un judecator competent si intelept aplica si ia in considerare atat litera cat si spiritul legii in care au fost scrise si circumstantele individuale. La fel si victima/ele. La fel si perceptia publicului. Spre exemplu respectivul a faptuit un "harmless crime", chiar daca a fost ilegal ce a facut, nu i-a pasat nimanui, ba chiar a fost apreciat. Insa daca prin astfel de actiuni ar fi cauzat ceva pierderi (fie ca sunt de imagine, materiale, etc.) lucrurile ar fi stat altfel. Depinde enorm si de cultura in cauza - care este in continua miscare si schimbare - unele companii initiaza programe de bug bounty in timp ce altele sar ca arse daca cineva descopera vreo problema si ii mai si acuza si incearca sa-i infunde (fie ca e din prostie, aroganta, insecuritate, zgarcenie, ignoranta sau toate laolalta). Intervine conceptul de risk/rewards de care multi tin cont, chiar in subconstient, inainte sa faca ceva. Pe cei tineri, media ii poate influenta foarte mult, incropind in mintea lor o imagine distorsionata a lucrurilor, a risk/reward in privinta infosec. (Poate ca ar trebui sa imi public lucrarea de licenta care a fost pe tema asta :D) Quote Link to comment Share on other sites More sharing options...
