Posts

hacking stuff again

Image
it'd be great if we could do sth we like, and earn a lot of money at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same time. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fact that stuff that matters to us can not buy food forces us to make irritating trade-offs.

i once talked to my boss who imo is a successful man. i understand successful means different things to different people but may you agree with me that we can conclude somebody be successful if he manages to have a large villa with a nice car in his early 30 (haha sorry to let you girls know that he's been married already ).

he told me he misses those old days when he hacked stuff to buy flowers and chocolates for his girlfriend who eventually became his wife. although he looks a lot like a business man cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days but i know deep down inside, he's an hacker. this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 very reason i like to work with/for him. it's a pleasure to work with/for people think like you. we understand each ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r, much more like two friends sharing a lot of common interests than a boss and an employee.

he wished he…

luôn có lỗi trong hệ thống

trong bài trước, tôi có nói, có nhiều trường hợp vì ràng buộc của các mục tiêu kinh doanh, chúng ta không thể vá lỗi, dù lỗi đó có nguy hiểm đến đâu đi chăng nữa. điều này thoạt nghe thì thấy hết sức nguy hiểm, nhưng nếu suy nghĩ kỹ, chúng ta sẽ thấy, sự thực là chúng ta đã, đang và sẽ sống với những hệ thống có lỗi nghiêm trọng.

khi một hệ thống nào đó bị tấn công, các *chuyên gia bảo mật* sẽ thường đổ lỗi sẽ cho đám sysadmin không chịu vá lỗi. "đã có bảng vá từ vài tháng trước, nhưng họ không chịu vá, để rồi bây giờ bị tấn công là phải rồi". đúng là việc vá lỗi là việc nên làm, nhưng lỗi không phải ở đám sysadmin.

một sự thật đáng buồn là có quá nhiều lỗ hổng bảo mật. mỗi tuần tôi nhận được một bản báo cáo từ US-CERT về số lỗ hổng bảo mật đã được phát hiện trong tuần. đây là danh sách trong tuần vừa rồi, chỉ tính riêng lỗi critical thôi là đã 25, còn tổng số là 52 lỗi tất cả.

để an toàn, sysadmin phải vá tất cả lỗi. để tấn công thành công, attacker chỉ cần khai thác thành côn…

không phải cứ có lỗi là vá

trong vụ lỗi của máy chủ DNS, tôi thấy nhiều bạn cứ thắc mắc tại sao tôi nói tự vì kiểm tra là phải kiểm tra xem có người sử dụng dịch vụ của máy chủ DNS có được bảo vệ an toàn hay không, còn việc vá hay không vá là việc tính sau..

cái ý tưởng "có lỗi thì phải vá" thường xuất hiện ở một số bạn nghĩ là mình hiểu về bảo mật nhưng sự thật thì kô hiểu được bao nhiêu. bản thân tôi cũng đã phải mất một thời gian dài mới ngộ được ra vấn đề này, thôi thì hôm nay chia sẻ ở đây.

"có lỗi trong phần mềm tôi đang sử dụng, nên tôi cập nhật nó", một lý lẽ xem ra rất thuyết phục, nếu như không có các ràng buộc từ phía business.

mục tiêu cốt lõi và cuối cùng của một hệ thống không phải là để vá hết lỗi, mà là để phục vụ những yêu cầu của người sử dụng, như họ mong đợi, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365o đúng thiết kế ban đầu của hệ thống.

đôi khi, chính cái ràng buộc, chính cái yêu cầu cốt lõi này, làm cho chúng ta phải chấp nhận vận hành một hệ thống, mà trong đó, chúng ta biết là có lỗi có thể bị khai thác. đối …