Ja ne b' rek'o da je Series 40 sa Symbian OS-om ...

Na svu srecu...

Dok sam čitao post, pomislio sam da je u pitanju pojedinac koji ne stoji iza bilo kakve kompanije... u tom slučaju, iskreno, ne verujem da je ilegalno tražiti novac za tako nešto (na stranu što je možda neetički, ali je to za neku drugu diskusiju).
--
Imao sam Nokiu 6600 i ona je bila užasno spora (iako sam instalirao svega par meni bitnih aplikacija, a ne čitav set gluposti).
Sada imam Nokiu E61... i..pa zadovoljan sam, ali ne i prezadovoljan. Mada, telefon pored razgovora i sms-a koristim samo za slanje mejlova, kao planer, čitanje feedova, kratke IM četove kada sam negde na putu i prelistavanje nekih vesti na netu. Dakle, ništa specijalno. Malo mi smeta što ne mogu da otvorim pdf-ove veće od ~1.5, 2MB (ne, nisam lud da čitam ceo pdf od ~400-500 stranica, nego obično želim da pročitam svega 2-3).
--
Da li je opskuran ili ne (i u kom smislu), ne bih tačno znao. Ono što ume da nervira (mene trenutno ne za sada) je katastrofalna tromost u izvršavanju jednostavnih zadataka, a ostalo sam do sada nekako preživeo. Seriju 40 nisam imao..tako da ne bih mogao ni da pričam o njoj...

Pardon,

Nije Symbian, vec Nokia OS... mada, opet jeste jos jedan Nokia-in opskurni OS ;-)

Anywayz... ova rupa je verovatno najveci sigurnosni propust u mobilnim telefonima do sad, prema kome su oni Bluetooth hackovi naivna decija poezija :)

Pitam se da li Nokia ima neku zastitu protiv buffer-overlfow-a i sl... exploit tehnika u svojim OS-evima...

A kad sam ja kolegi Marku pricao da je Nokia shit nije mi verovao :P

Svojevremeno sam bas birao Nokojin telefon sa sto je vise moguce monolitnim OS-om, kao verujuci da ce:
* imati manje bugova
* nece me terati da bilo sta ozbiljnije updateujem
... i tako sam bio odabrao seriju S40 v3.
:)

OT:

^{Eh kad se setim ove lepote. Bolje da ga sam ga zadrzao, i auto ga je bio pregazio i nista, samo ekran.}

Eh? Covjek je potrosio vrijeme da pronadje rupu, to je, koliko sam ja shvatio, zatvoren kod... Na koju foru je to "klasicna ucjena i iznudjivanje"?

I zasto bi, molim te, neko trebalo da pokloni Nokia-i svoj trud i da volonterski trazi rupe u njihovom kodu od koga (tog koda) pare prave, i to ne tako hrdjave?

http://www.security-explorations.com/n2srp.htm

Covek na svom web-sajtu javno prodaje proof of concept kod za backdoor...

A onda, jos interesantniji deo ponude: EARLY ACCESS FOR >ONE< ENTERPRISE (pitamo se koji bi to "enterprise" bio zainteresovan za ovo, a? ;-)



Dakle, cova javno nudi ekskluzivni pristup backdooru >bilo kome< ko plati 20K... Nauka? Istrazivanje? Yeah Right...

To je identicno kao black-market virus trading, ako mene pitas, i predstavlja de-facto ucenu Nokia-i koja ce morati da plati fine pare doticnom kako bi sklonio svoju lepu ponudu sa sajta - on se lepo potrudio i da napravi ponudu 100% prikladnu za nokia-u - "platite mi 20000 EUR i ja vam dajem ekskluzivni access"... dakle, to sa naukom nema blage veze.

Za pisanje virusa klinci idu u zatvor, a ovaj cova pod izgovorom "istrazivanja" za dobre pare prodaje backdoor proof of concept i de-facto cini iznudu stavljajuci Nokia-u pred svrsen cin tako sto je napravio "otvorenu ponudu" za sve zainteresovane za backdoor.

Sorry, u mom recniku to ima samo jedno znacenje - i bilo bi lepo da se zakon pozabavi sa ovim "dobronamernim istrazivacem".



Gde sam ja to rekao? Uopste ne bi trebao niko da pokloni Nokia-i svoj trud, ali "prodavati" svoj trud na ovaj nacin je cista iznuda, i jasno je da je online ponudom covek hteo da stavi Nokia-u pod svrsen cin.

Gde si jos video da ugledni security research-eri bukvalno "pimp-uju" svoje "proof of concept" radove na sajtu, pa jos sa "eksluzivnom ponudom"...

_{[Ovu poruku je menjao Ivan Dimkovic dana 21.08.2008. u 22:02 GMT+1]}

Potpuno se slažem sa apatridom. Proizvođačima bi najviše odgovaralo da se o bezbednosnim propustima ne priča, pa makar im softver bio bušan ko sito. A da li je to u interesu korisnika da ne znaju da im je proizvod bušan i da ih neko možda hakuje? E, pa, ša ne može tako. To bi bilo kao kada bi se zabranio razvoj matematike da neko ne bi razbio neki kripto sistem. Ako neka metoda nije objavljena, to ne znači da je niko neće iščačkati i koristiti. Nokija uzima jezive pare i ovo je za njih sitnica, a za te pare će moći da poboljšaju sigurnost svojih korisnika, a to je valjda cilj. I istraživači treba da zarade od svog rada.

Ivane kao prvo ovo sto on nudi nema veze sa iznudom, on nudi da otkrije neku rupu u njihovom softwareu i za to trazi novcanu nadoknadu, ako mene pitas to je sasvim normalna stvar i ovo govorim kao pravnik, ovde nema mesta nikakvoj iznudi, zna se sta je iznuda ti ukrades nekome kola i onda ga zoves da mu vratis ta kola a on tebi da da pare za to e to je iznuda.

Sto se tice pisanja virusa za to se sada ide u zatvor ali ako Bog da ubrzo ce se taj zakon promeniti i te sulude odredbe ce biti ukinute, pisanje virusa nije krivicno delo, ako mene pitas napisati virus je umetnost kodiranja a zna se sta je tacno virus, ako ti taj virus ne siris nigde nego stoji kao text file na tvom kompu ne vidim kakvo je to krivicno delo i kako moze to da bude krivicno delo, ako ti nekome zelis da nesto unistis i da ga materijalno ostetis tebe krivicni zakon vec tereti za planiranje krivicnog dela onda imas pripreme, otklanjanje prepreka i izvrsenje, moze se reci da je virus deo pripremne radnje ali mora postojati neki umisljaj neki subjektivni odnos ucinioca prema delu ili nema krivice, a bez krivice nema ni krivicne odgovornosti.

Nedeljko,

Zamena teza.

Idemo iz krajnosti u krajnost - naravno da niko normalan ne treba da brani research-erima da rade na sigurnosnim analizama, pa i da objavljuju te podatke. Ali hajde da se ne zezamo, i da nazovemo stvari pravim imenom: ovo je iznuda

Sorry, ozbiljni istrazivaci objavljuju svoje nalaze na konferencijama ili u vidu radova, ali nikako na nacin koji bi ugrozio bezbednost - niko normalan ne objavljuje "proof of concept" a da pre toga rupa nije zakrpljena. To se radi u saradnji sa ostecenim firmama, i tada se pregovara o placanju.

Dok je ovo sto je ovaj lik uradio cista suprotnost - on je na svoj web sajt okacio javnu ponudu gde bilo ko za 20000 EUR moze da dobije ekskluzivno pravo da pristupi exploit kodu koji je eufemisticki nazvan "proof of concept"

Sorry, to nije nikakvo "istrazivanje" - to je cista ali cista prodaja malware-a, i to spinovana na taj nacin da Nokia nema ni jednu drugu opciju nego da pljune pare kako bi ovaj "istrazivac" sklonio svoju ponudu sa sajta...

Ako tu ima i gram dobrih namera, ja sam crvenkapa - taj covek nije nista razlicit od Black Hat hackera koji na crnoj berzi valjaju "0Day" exploite, i prema njemu se treba ponasati na identican nacin - tuziti ga.

@staticInt, copyright zakon u EU, USA i Japanu ima odredbe koje mogu da sprece ovakve aktivnosti - ukoliko je malware dizajniran tako da zaobilazi zastitne mehanizme softvera, to je "circumvention device" i njegova prodaja je ilegalna. Da ne pricamo o tome koliko je posteno na ovakav nacin traziti pare.

Očigledno nisam znao ovaj detalj.. Mislio sam je čovek tražio novac samo od Nokia-e što uopšte nije zločin. Ali jeste zločin ponuditi to bilo kome ko da 20k €. To se ne razlikuje puno od javnog prodavanja naoružanja za napad na neku zemlju.

Da budemo precizniji, to se ne razlikuje od prodaje kalauza, na primer.. posto je jedini cilj tog softvera kompromitovanje telefona.

I naravno da se zakoni nece menjati u pravcu nazivanja virusa legalnim programima, nego bas suprotno - kako i treba da bude. Kao sto nije legalno prodavati opremu koja sluzi iskljucivo za provaljivanje brava, tako nije legalno (u EU/USA/Japanu) prodavati softver cija je iskljuciva namena razbijanje zastite.

I da ne dođe do zabune, niko ovde nije rekao da ljudima (korisnicima) ne treba pružiti uvid u sve ovo. Korisnici treba da znaju, to je valjda ono što je Nedeljko hteo da kaže i staticInt... ali to ne treba da se desi na ovaj način. Sasvim je ok da je čovek samo pozvao čelne ljude Nokie i izneo im ponudu, a da pre toga čak i objavi šta je otrkio i gde je propust, ali ne i da ponudi exploit trećem licu za određenu novčanu naknadu.

Covjek hoce 20K eura za svoj rad, ne znam sto bi to bilo kriminalno djelo. On svoj code moze prodati pod etiketom istrazivanja ili cega god.

Usput sumnjam da je lik glup pa da kod nije mogao plasirati za iste pare na "drugom" trzistu, ali ocito mu to nije bas bio cilj, vjerovatno covjek ocekuje da ce da mu se javi Nokia ili neki istrazivacki centar i da otkupi od njega code.

U svakom slucaju covjek ima pravo da trazi pare za svoj rad, a to sto se on ne izjednacava sa idejom hakinga i podjela informacije je njegov privatni stav.

Dakle, prodaja kalauza (virusa, exploita, itd) je krivično delo, a prodaja kontejnera kalašnjikova je, pretpostavljam, biznis?

Vrlo interesantan etički kodeks.

Vrlo interesantno stavljanje u usta stvari koje nisam rekao.

Prodaja oruzja je u mnogim drzavama ilegalna osim za medju-drzavne poslove, i mislim da je to korak u dobrom smeru (u smeru zabrane prodaje oruzja).

Svejedno, u mnogim drzavama ne mozes legalno prodati kalasnjikov nekom drugom fizickom ili pravnom licu (a da to nije drzavna sluzba), i to je isto kao i za kalauz.



Ciji? Nekog tvog zamisljenog prijatelja?



Ne, covek hoce 20K EUR od "velike firme" kako ne bi prodao nekom drugom svoj exploit.

Nacin na koji je to napisano pokazuje koja mu je namera.

I, ne, nisam ja jedini koji je namirisao iznudu - ima dosta high-profile IT clanaka koji su to videli iz tog ugla... Sorry, to se tako ne radi, ako je neko samo hteo "pare za svoj rad" - ocigledno je da cova hoce nekog da prisili da mu plati.

Neverovatno...a ja sam i uzeo S40 platformu, jer mi je Symbian kao prespor i računajući da je sigurnija...i šta sad. dospe li ovo u ruke nekog mahnitog hakera?...

^Pa, nadam se da nijedan "mahniti haker" neće izdvojiti 20k€ za ovo
Po svemu sudeći, Nokia će da iskešira ovog lika i da iskrpi OS... Ako Ericsson ili Apple ili XY ne budu brži

Ponavljam, ako gledamo izolovano... nije kriminalno delo. Tj. svako ima pravo (i treba) da naplati ono što je uradio.

Ali zamisli sledeću situaciju: Nokia je saznala da postoji backdoor, ali iz nekog razloga (na koji imaju pravo i koji može biti čisto poslovni, makar bio i neetički, to je obrni-okreni njihova stvar) ne želi da reaguje ili ne želi da reaguje u ovom trenutku, na šta, ponavljam, ima pravo. E sada, da je taj čovek izneo ponudu samo Nokia-i, Nokia bi i dalje u svojim rukama imala odluku šta će da radi sa serijom 40, a ovako nema odluku u svojim rukama i mora da se "pokori" tamo nekom i da iskešira 20k € zato što rizikuje da taj neko proda exploit trećem licu i napravi Nokia-i još veći haos.

E zato je Nokia praktično ucenjena.



Neće izdvojiti sam, ali bi neka veća black hat grupa ljudi izdvojila opušteno.

Kako ja razmisljam:

a) ako nije prvo ponudio Noki-u da odkupi code (ono 90% da je) pa uradio ovo - onda je debil
b) ako je ponudio Noki-u a ovi ga isklulirali zato sto neki direktoric nije htijo da prihvati informaciju da je kreirao debilan software i ima mal penis - onda nek ih puci

U svakom slucaju prica vjerovatno ima dva lica i malo vjerovatno da je crno-bjelo.

Ovo je ništa drugo do javna kontrola kvaliteta proizvoda na tržištu i ona je dozvoljena bilo gde u svetu. U USA je zabranjeno prodavati proizvod dobijen reverznim inženjeringom, a ne vršiti reverzni inženjering i objavljivati njegove rezultate. Da, znam i za odredbu o zabrani zaobilaženja tehnićkih mera, ali sve to ne menja ništa. Ivane, jesi li siguran da to nije USA only glupost, već i da su je "uvezli" EU i Japan?



Upravo je to razlog zašto je tip potpuno ispravno postupio. Inače bi Nokia mogla da se pravi luda, a da korisnici ostanu nezakrpljeni i izloženi riziku da neko zlonameran otkrije isti propust. Ovo je jedini način da se utvrdi stvarna tržišna vrednost ovog rada. Mislim da bi još bolji potez bila javna aukcija. To je kapitalizam, zar ne?



Ni ja nemam nikakvog izbora sem da pljunem pare za Windows da bih koristio neki Windows-only, non-MS softver, kao što nemam ni izbora sem da pljunem pare za Vista OEM licencu da bih kupio PC laptop. Da li je i to ucena?

Ne, to nije ucena - jer alternativa tvojem ne-placanju Windowsa nije kriminalno delo i potencijalna tvoja odgovornost za gubitak privatnih podataka tvojih korisnika. Poredis babe i zabe, da se izrazim na cistom srpskom.

Potpuno je jasno da ako se bilo ko drugi, osim Nokia-e dokopa ovog backdoor-a (a moze, posto se prodaje "na izvolite"), to moze imati dalekosezne posledice.

Ukoliko taj backdoor kupi neki hacker, recimo ruske grupe koje rade DDoS napade po narudzbini, jako brzo ce doci do masovnog izvrsavanja krivicnih dela, i u tom slucaju ce ovaj covek biti direktni saucesnik, sto bih jako voleo da se desi kako bi ga zakon naucio pameti.

Bas tom logikom je on Nokia-u stavio pred svrsen cin, nemojmo se folirati i pricati o nekakvoj "javnoj kontroli kvaliteta" - my arse, postoji na stotine drugih mnogo poznatijih sigurnosnih eksperata i niko od njih nije na ovakav nacin nudio svoju profesionalnu pomoc u resavanju problema.

Pogledajte kako ugledna imena u sigurnosti objavljuju svoje radove - niko njih ne sprecava da se bave manama softverskih proizvoda, ali niko od njih ne prodaje "backdoor" aplikacije na sajtu svim zainteresovanim stranama, a jos manje nude "ekskluzivni pristup". To iskljucivo rade "black hat" hackeri na crnim berzama, tzv. "0-day exploits", i za njih niko ne dovodi u sumnju koje su namere, pa ne vidim zasto bi i za ovog coveka tvrdili nesto drugo.

To samo pokazuje da ovog coveka ne zanima nikakva "javna kontrola kvaliteta", vec iskljucivo pare - da ga zanima "kontrola kvaliteta", verovatno bi se dogovorio sa Nokia-om, a ne bi nudio svoj malware na aukciji. Osim toga, nije uopste potrebno prodavati malware "proof of concept", vec je moguce problem objasniti na nacin koji je daleko manje opasan nego da neki kriminalci jednostavno kompajliraju kod.




Naravno da nije USA-only glupost, to imaju svi Copyright zakoni usvojeni posle 2000-te godine.

Duznost copyright zakona je da zastiti prava i autora a i korisnika - kako je moc korisnika u vezi krsenja prava autora znacajno porasla u proteklih 20 godina, sasvim je normalno da je zakon morao da dozivi promenu i da mnoge digitalne aktivnosti, kao sto su razni "crackovi" i sl... nazove pravim imenom - krivicnim delima.

Samo jos da dodam da je Nokia PC Suite manje-vise teski shit od software a neophodan je ako hocete da povezete svoj telefon i PC bar sto se tice N serije-ne znam za novije i starije modele jer ne pratim toliko dogadjaje na trzistu mobilnih telefona,pa neka me neko ispravi
Dok recimo kod drugara koji ima W810i nije potreban nikakav drajver jer i Win i Linux prepoznaje uredjaj kao storage
Plus da dodam da doticni software postoji samo i jedino za Windoze,nema cak ni verzija za Mac(sto je po meni bezobrazluk)a za linux naravno nista
Inace ja imam N72 i mogu reci da sam prezadovoljan iako Symbian zna da ponekad bude trom-imao sam prilike da kod drugara vidim onaj SPV Orange sto ima Windows Mobile i sem brzine mogu reci da nije Symbian-u ni do kolena tek da ne pominjem debilni raspored tastera na doticnom Orange uredjaju ;)

Iha, gdje ode ti sa ispredanjem teorije o "nauci"?

Nijesam ja nikakvu "nauku" spomenuo, vec cisti-cistijati RAD. Tj. vrijeme. Nokia moze da se presabere koliko inzenjer sati kosta testiranje, pronalazenje i terminacija te rupe, pa to fino uporedis sa cifrom od 20,000 evrica i ocas posla doneses zakljucak, da li je zacijenio ili precijenio robu koju posjeduje.

Ne moze bit iznuda, Ivane, e je Nokia samu sebe dovela u situaciju da joj proizvod ima zjapecu rupu. Bili testirati i pisati kod kako treba, a? Pa da ih niko ne "ucjenjuje". Upirati prst u njegovo trazenje para je istovremeno i tvrdnja da supalj softver od Boga data kategorija i da se drugacije softver ni ne pise? Vrlo cudna linija zakljucivanja se odatle da ispresti, ako mene pitas.

Da se razumijemo, sva ova moja prica je "operisana" od toga sto ja licno mislim o moralnosti ovog zamesateljstva. Ali ja ne znam za zakonsku regulativu, osim americkog, bjese li "Milenijum akta", gdje je eksplicitno zabranjeno razvijati softver koji MOZE DA SE ISKORISTI za izvrsenje kriminalnog dijela (koliko znam, time je zabranjena proizvodnja bilo kakvog softvera koji DRM zaobilazi). Svugdje gone one koji krivicno djelo izvrse, dakle te ruske DDOS najamnike. Ovaj ne moze bit "saucesnik", jer ne moze bit odgovoran za sto ce informaciju ekipa da iskoristi.

Za razliku od price o DRM-u, ovo je tek suluda situacija. Posto je suludo zabraniti korisnicima da traze rupe (administratori su zainteresovani da ih zapuse, bilo patchevima proizvodjaca, ili alatima izvan proizvoda), onda bi trebalo da uvodis regulativu u cije ruke takva informacija moze da dodje? Ajde sa druge strane, a sto bi Nokia uopste popravljala tu rupu ako je zakon stiti od toga da informacija dodje u opasne ruke? Sto bi dovelo do toga da Nokie ovoga svijeta reaguju samo nakon havarije i dokaza da "losi momci" koriste datu rupu.

Sustina moje price je da ja ne znam kako bi se ta hipoteticka regulativa uvela da ovog lika sprijeci da cini to sto cini. Evo, ja cu se sloziti sa tobom da to sto on cini za 99% ljudi spada u "nemoralni akt" kategoriju, ali kako se to konkretno pretvara u "krivicno djelo", da se poigramo zakonodavaca?

"Alternativa" je nenabavka laptopa i život u XIX veku. Dakle, alternativa praktično i ne postoji. Šta ako mi nešto važno zavisi od neke windows only aplikacije i ako nabavku ne mogu da smatram "opcijom" već moranjem? Šta ako imam masu podataka u nekom formatu, da bi nekome palo na pamet da drastično promeni uslove licenciranja, a ja ostao zarobljen u tom formatu? Gde kopirajt štiti moja prava? Lepo je to što npr. Corel pravi softver za crtanje, ali šta njega boli dype za moje fajlove u cdr formatu? OK, softver je njihov, ali crteži su moji!



A šta je zanima MS-a ili ORACLE-a ili Corel-a? "Uzvišeni" ciljevi? Naravno da hoće da zaradi pare. Šta je u tome loše? Kada neko hoće da zaradi pare, onda je gangster, a kad nudi softver pod FLOS uslovima, onda je komunjara. Baš lepo.

Pa, u kapitalizmu se valjda podrazumeva da je novac pokretač rada. Javna kontrola kvaliteta je valjda u mogućnosti nezavisnih istraživača da ispituju proizvode i naravno, da otplate svoja ulaganja u istraživanja. Bez ovog drugog bi se sve svelo na poluzabranu ispitivanja proizvoda. Što bi se neko znojio i ulagao trud u nešto, nego zbog para (kapitalistička filozofija)? Kako se u kapitalizmu utvrđuje novčana vrednost nečega, ako ne tržišno?

Kao i otkriće specijalne teorije relativnosti.



Kao i Ajnštajn u genocidu u Hirošimi i Nagasakiju.



Što je sasvim u redu.



Jesu li to one "komunjare" što se dobrovoljno odriču mogućnosti da zarade na svom trudu onoliko koliko je moguće?



Na zakone najviše utiču najmoćniji ljudi, tako da se sve svede na to da se prvo zaštite prava kompanija, a onda za korisnike šta ostane.

Ljudi generalno , pogledao sam onaj pdf sa njegovog sajta :) on kaze to je "as is" bez garancije :) realno mislim da bi tu mogao da se nabulsituje svega i svacega, i da to ne mora uopste da je tacno. tako da onaj ko i kupi kupio je macku u dzaku :) ovo mi blago receno lici na miliondollarhomepage.com :)

Može da se potpiše ugovor po kome se vrši isplata pod uslovom da se na taj način dobija to i to, odnosno da se isplata izvrši nakon demonstracije.

Da li bi Nokia mogla da se pravi luda ili ne, to apsolutno nije bitno. Opet kažem, to je njihova poslovna strategija na koju oni imaju pravo. I ne treba se baviti moralnošću te njihove poslovne strategije ma kakva ona bila. U ostalom ko garantuje da baš ovaj čovek nije mogao biti zlonameran?




Ma niko ne upire prst u čoveka zato što traži pare, ali ih traži na najprljaviji mogući način. Ako je taj čovek toliki borac protiv šupljeg softvera, nećemo da se lažemo... zna on vrlo dobro šta znači prodati tako nešto trećem licu (a ovde treće lice može biti bilo ko), tj. kakvu štetu indirektno može da nanese Nokia-i i njenim korisnicima. Tu se onda njegova želja i dobrota da drugi ljudi budu bezbedni i ne "žive" sa backdoor-om u telefonu direktno kosi sa mogućim posledicama prodavanja exploita, kojih je on vrlo svestan, ali time pokazuje da ga nije briga, već samo hoće pare na bilo koji način.




Ako je nešto važno što zavisi on windows only aplikacije, a ne postoji alternativa među besplatnim/slobodnim softverom, onda ćeš pazariti Windows i datu aplikaciju i završiti posao. Šta je tu nejasno? I ne samo što ćeš pazariti, nego ako ti nešto važno zavisi od toga, znači da si spreman i da platiš bez gunđanja ako već besplatna/slobodna alternativa ne postoji. A ako postoji, onda niko iz MS-a neće da ti naplati to što želiš da koristiš besplatno/slobodno non-MS rešenje.




Omašio si poentu opet. Niko nije protiv čoveka zato što hoće da zaradi pare. Da, u tome nema ničeg lošeg i da, taj neko nije gangster, ali jeste gangster ako želi da zaradi pare na ovaj način

I da..:) naravno, hipotetički i teorija relativnosti može imati gadne posledice ako se nađe (i ostane) u rukama uvrnutih umova. Ali, eto, to se sa njom nije desilo već je objavljena, svi su saznali za nju i svi su automatski postali ekvivalentni po tome da li mogu/hoće ili ne mogu i neće da je zloupotrebe. I niko nije tražio pare da bi je objavio ili dao drugome.

Meni je samo cudno da je lik stavio samo 20k dolara, ako je vec odlucio da stvar radi na taj nacin, onda
mi je cudno da nije bar 100-200k da cepio.
Pitanje za Ivana: A ko ce da proceni i isplati stetu korisnicima ostecenim ovim
propustom Nokie za koji su oni odgovorni? Da taj posao nije mozda na Nokiji?

Pa i ovako imaju pravo na svoju poslovnu odluku. Ko ih tera da kupe exploit ako neće? Kupiće neko ko hoće i rešen problem.



Najviše mi se sviđa deo "ma kakva ona bila". A zašto se onda baviti moralnošću poslovne strategije ovog čoveka?



Isto tako treba Nokija bez gunđanja da otkupi exploit i gotovo. Da se ne zezamo, 20 Kiloevra za Nokiju nije ništa.



Kapitalizam počiva na tome da sve što je potrebno da se odradi, treba da postoji način da to neko odradi za pare, a ne iz altruizma, kao i da se vrednost rada određuje na tržištu. Dakle, njegov cilj i ne treba da bude "bezbednost korisnika", već zarada. Na koji način dolazi do nje? Istraživanjem bezbednosti i prodajom rezultata proizvođaču po tržišnoj ceni. Da se razumemo: ja sam protivnik kapitalizma, ali ovo jeste kapitalistički. Oni koji misle da podržavaju kapitalizam, a ovog čovu bi da uhapse, imaju problem u glavi.



Znači, ipak je poenta u tome.

Upravo to. Ne vidim čemu ovolika galama. Ova cifra je za Nokiju pichkin dim.



Ja bih samo dodao: a ko će da proceni kolika je vrednost rada ovog čoveka, Nokija?

To se sa njom itekako desilo. Stanovnici Hirošime i Nagasakija su na svojoj koži osetili, vrlo nehipotetički, specijalnu teoriju relativnosti (Ajnštajnovu jednačinu E=mc²), a mnogima je to bilo i poslednje što su osetili.

No, treba li da exploit bude isto tako objavljen i da svi budu ekvivalentni...



Praktično svaki softver može da se iskoristi za izvršenje kriminalnog dela. Sa druge strane, čak i krekovi mogu da se iskoriste za izvršenje nekriminalnog dela. Mutni zakoni služe za porobljavanje slabijih od strane jačih putem selektivne primene.

Ko ih tera? Tera ih mogućnost da exploit dođe u ruke neke kaubojštine koju posle možda neće ni moći da vijaju zakonom ako ta ista kaubojština napravi haos i Nokia bude morala da snosi ko zna koliko reda veličine veću štetu.



Svidelo se tebi ili ne, da, oni imaju pravo na bilo kakvu poslovnu strategiju sve dok direktno ne nanose štetu korisniku odnosno sve dok ne nanose bilo kakvu štetu koja krši ugovor između njih i korisnika, a ovaj čovek im je bez problema stavio omču na vrat, zato što je objavljivanje i prodaja exploita na taj način ekvivalentna sledećem: "Znate kako, imate vi para da platite, a ako nećete da platite onda ste najebali jer ću prodati nekom drugom pa će izvlačenje iz sranja da vas košta mnogo više" - veruj Nedeljko, taj čovek zna da radi upravo ovo.



Ovo nema nikakve veze sa odgovarajućim citatom onoga što sam rekao. Ma ako hoćeš da odradiš nešto bitno, spreman si i na ulaganja da bi to odradio. Ako to može da obavi samo MS proizvod i Win-only softver onda ćeš to i kupiti. Ako ne obavlja posao ili je skuplji, onda ćeš kupiti jeftiniji koji ti vrši posao, a ako nađeš da i neki besplatan/slobodan softver odgovara, naravno, uzećeš njega. I niko neće da te smesti u zatvor ili kazni ako si izabrao jeftiniju ili slobodnu alternativu, a ne MS proizvod.

A Nokia je stavljena u mat poziciju i to sam već gore rekao zašto.


I da, hajde već jednom da rasčistimo. I za neku osrednju firmu u Srbiji je 20k € pi**** dim i Nokia može da mu ispljune i cifru (ne vidim više zašto se pominju tih 20k) od koje bi mu se zavrtelo u glavi, ali ZAŠTO?! Zbog exploita? Ok, ali da je ponudio da proda samo njima (i dovoljno je da je ukazao samo njima kakve su posledice, Nokia bi mu pljunula i veću cifru). Ali ne.. čikica je ocenio da je "ucena" sigurna karta.. zašto on da pregovara o cifri sa njima, ako može da im ga zavuče ovako.

Da, ali je sasvim druga stvar to što suprotna strana u tom trenutku možda nije imala tehničkih i finansijskih mogućnosti da napravi istu stvar, ali su potrebno znanje o tome kako da naprave istu stvar dobili i oni u isto vreme kad i ovi prvi... Nemoj te dve stvari da mešaš. Jednostavno ne možeš da vučeš paralelu sa ovim slučajem.

A bolesnih umova će uvek biti...

eto tačno , na primer uvek može neka budala da napravi kao neki driver pa da ga uvali za 2.000.000.000 € (a poenta je da ga niko neće ni besplatno )
a naravno da pretstavlja i opasnost za planetu ,pa onda pozovu brucea villissa
i milu (mmmm) da sredi stvari


na svu sreču nemam nokiu

Bingo!

Eto konacno neko da lepo ukapira o cemu se radi...

Dakle, lik je najobicniji ucenjivac. I treba ga tretirati kao bilo kog drugog prodavca 0-day malwarea, a ne zvati ga "sigurnosnim istrazivacem".

Boli njega tuki uzece 20k a vi se raspravljajte :)

Pa, i mene tera nešto da pljunem pare za ono što mi treba. Zašto bih inače plaćao bilo šta? Zbog "ucene" da neću dobiti ono što hoću bez da pljunem lovu. Ovde su neki očigledno protiv robno-novčane razmene dobara. U ovom slučaju, otkud znaš da za tu rupu već ne zna neko ko to obilato zloupotrebljava? Jeli Nokija propala zbog toga? Da li svaki exploit bude otkriven od strane istraživača pre nego od strane hakera i da li firme propadaju zbog toga?



Isto tako, svidelo se to nekome ili ne, i ovaj čova ima pravo na svoju poslovnu strategiju, sve dok njome ne krši zakon. Ako ga krši, Nokija će lako rešiti problem. Ako ga ne krši, a Nokijini pravnici znaju da nemaju šta da traže, kako osporavaš ovom čoveku pravo na poslovnu strategiju?



Ima veze jer to isto važi i za Nokiju. Otkud ti znaš na šta sam ja spreman? Šta ako mi je nešto važno, a nemam dovoljno para za investicije? Ako mi je nešto važno, a samo jedan softver to može da odradi i plaća se, jesam li ja time "ucenjen"? Šta ako je u pitanju moje lečenje - umirem ako ne platim, a nemam toliko?



Zašto? Pa, upravo zbog exploita koji je našao. A, da je ponudio samo Nokiji, kako bi se dogovorili oko cene? Treba li Nokija da je određuje jednostrano. Niko ne brani Nokiji da to ne kupi, već da sama investira u traženje exploita. Imaju source, lakše im je.



Znači, tip je trebao da okači besplatno svima 0-day exploit, pa da svi imaju "jednake šanse". Zanimljivo razmišljanje.

Ivane, ne odgovori ti na par pitanja koja su lično tebi upućena.

Vrlo čudna poređenja praviš. Niko tebe ne tera da kupiš recimo neki MS proizvod (da se razumemo, ovde MS koristim samo kao primer, pošto sam ga koristio kao primer i ranije, ni zbog čega drugog). Je l' će neko da te sačeka i prebije ako ne kupiš njihov softver? Neće, naravno.
Ali, evo zašto ti je poređenje čudno: Ako samo Win-only softver tebi može da završio posao, a ti nemaš para da ga kupiš, to se ne zove ucena, nego "***i ga, nemaš pa nemaš", traži donaciju ili pomoć sa strane. ALI, tvoj posao koji treba da završiš će biti samo u zastoju, samim tim ćeš vremenom možda i da gubiš neki keš, ali neće biti kriv MS ili bilo ko drugi što ti nemaš para i pogotovu nije kriv što tebi projekat stoji i nigde ne postoji njihov direktan uticaj na sve to, a kamoli da su imali nameru da baš tebi nanesu štetu tako što neće za DŽ da ti daju softver da obaviš posao...
Ako kažeš da nemaš ništa protiv robno-novčane razmene... da te podsetim, u to spada i slučaj da ti nemaš dovoljno para pa samim tim neće niko ko naplaćuje da ti da softver za DŽ, a ti to, vidim, nekako očekuješ.
Aha... neko možda zna za rupu. I? Šta onda? Ja ne znam da li razumeš ili ne: U tom slučaju je svakako bolje da exploit bude ponuđen samo Nokia-i (i oni će kad se dogovore sa tipom i kupe exploit onda da reše problem), a ne i čitavoj bolumenti pa da samim tim taj tip bude samo podstrekač povećanja grupe koja eventualno postoji i zloupotrebljava bag.




Imam i ja pravo da ubijem nekog, ali me čeka zatvor kao i ovog tipa ako prekrši zakon. I da, ako Nokijini advokati reše da ga opamete, opametiće ga jer čovek javno prodaje stvar koja se može direktno upotrebiti za izvršenje protivpravnog delikta.
Taj exploit (iliti preciznije, predmet prodaje) neće da mi pomogne da spremim ručak ili da me vozi na Mesec, nego služi SAMO za jednu stvar: inkriminisanje ranjivih uređaja i korišćenje istih kao "zombija" za postizanje ilegalnih radnji.



Ako nemaš dovoljno para, tražiš donaciju ili pomoć trećeg lica koja u većini slučajeva biva oglašena i informacije o njoj budu dostupne javnosti. Baš me zanima kakvo bi to tržište bilo kad se nebi znalo ko kome daje novac i ko treba jednu stvar da plati, a da je neko drugi dobije za džabe. I kakav bi to mehanizam trebalo da bude koji bi određivao "Ti nemaš dovoljno para, ti dobijaš besplatno, a ti tamo...ti imaš dovoljno para, moraš da platiš". Ne znam gde bi ti to stavio granicu, a i gde god da je staviš, očekuje te samo haos.
A najjače mi je ovo kada na kraju ljudi sve porede sa umiranjem... U normalnoj zemlji ljudi plaćaju zdravsteno osiguranje i dobijaju lečenje na konto osiguranja. Niko neće da ostavi nekog (ako ga vidi u kakvom je stanju) da umre kao pas na ulici, ali će I TO biti naplaćeno verovatno kad-tad nekoj (ne)vladinoj organizaciji (ako bi takva postojala, to je primer) za koju se javno zna da pomaže ljudima u takvim situacijama. Summa summarum, bolnica dobija keš.



Obe strane će učestvovati u određivanju cene (i veruj mi, imao bi velike šanse da dobije još veći keš), a ako se ne postigne dovor, pui-pike nikom ništa. A i posle toga tip nema prava da objavi exploit.



Za početak, hvala, verujem da je zanimljivo. A inače, lepo sam objasnio koja je razlika u domenu mogućeg korišćenja recimo teorije relativnosti i ovog exploita. Jasno je kao dan čiji je domen korišćenja uži, a i kao takav, uži, može da posluži samo za izvršavanje kriminalnih radnji.


_{[Ovu poruku je menjao Goran Arandjelovic dana 24.08.2008. u 04:06 GMT+1]}

@Goran Aranđelović

Sa tobom se očigledno ne vredi raspravljati, jer te i ne interesuje šta druga strana piše. Poenta je bila u dvostrukim aršinima koje primenjuješ, verovatno nenamerno jer nisam primetio da si bezobrazan, niti pokvaren, niti zlonameran.

Ovamo, mene niko ne tera da kupim neki proizvod, makar to bio protivotrov od zmijskog ujeda od kojeg ću umreti za jedan sat ili lek od smrtonosne bolesti od koje bolujem, a sa druge strane Nokiju nešto "tera" da kupi exploit. Sa jedne strane Nokija ima pravo na poslovnu strategiju, a sa druge ovaj čova nema.

I kalauz i crack i exploit se mogu upotrebiti za izvršenje nekriminalnih radnji. I Flight simulator i Windows i MS Office mogu poslužiti za izvršenje kriminalnih radnji.

A što se tiče razmene dobara, nigde nisam rekao da sve treba da se deli džabe, pa ni exploiti. To važi za sve - i ze Nokiju i za ovog čovu i za tebe i za mene. Ako bi exploit bio ponuđen samo Nokiji, cena njegovog rada ne bi bila određena tržišno. Nokija bi mogla da kaže: "Možeš nam ga dati džabe ili nas ne zanima.". Nokija ima pravo na takav odgovor, kao i ovaj čova na ovakav potez.

Što se tiče "opamećivanja", postoji valjda neki zakon. Ako ovo nije protivzakonito, onda nema advokata koji mogu da ga "opamete", jer je sve po zakonu. Ako je protivzakonito, onda bi svašta drugo moralo da bude besplatno da ne bismo bili licemeri.

^Nedeljko

Ni ja više ne želim da raspravljam previše pošto su stavovi još malo pa dijametralno suprotni. Još nekoliko stvari...

1. Svaki predmet prodaje čije korišćenje je neko opšte dobro, ali čije bi korišćenje moglo da bude i zlonamerno na neki način ne treba sputavati jer inače nebi došlo ni do kakvog napretka, a opet kažem, uvek se nađu bolesni umovi koji bi skoro svaku takvu stvar mogli da iskoriste u kriminalne svrhe.

2. (Ne shvataj ovo lično, samo je primer :-)
Ako neki lek ima svoju cenu, nikako ne znači da ti ga treba dati besplatno makar ti umirao u datom trenutku. S tim što, život čoveka je neprocenjivo vredniji od nekog posla koji će da ti možda propadne, pa ćeš ti dobiti lek istog trenutka da nebi umro, ALI ćeš ga posle toga platiti (ili ti ili neka predviđena organizacija koja se bavi takvim slučajevima ili neki sponzor (donor) koga nađeš, ako ti nemaš para). Da li ti, Nedeljko, sada razumeš o čemu ja pričam? Zato ti sve vreme govorim da izbaciš umiranje jer cena života se "malo" razlikuje od cene nekog posla i tebi će pre svega biti spašen život, ali će posle toga taj lek biti plaćen kako god da okreneš. A boga mi, ne znam da postoji takav posao zbog koga bih ti dao softver besplatno (pa čak i ako mi ti kažeš da bi mi posle platio) ako ga naplaćujem (sem ako softver možda igra ključnu ulogu u spašavanju nekog života u tom momentu?! ali daj...)

3. Da, crack i exploit se mogu upotrebiti za izvršenje nekriminalnih radnji... ako recimo profesor napravi exploit radi demonstracije studentima, da, to je ok.
Pitanje za tebe: Kada bi kupio exploit od ovog tipa, za šta bi tebi taj exploit služio?

4. "Možeš nam ga dati džabe ili nas ne zanima." - Da, Nokia ima prava na to, ali tip nema prava da prodaje exploit zato što (u ovom slučaju, ponavljam, u ovom slučaju!) taj exploit može da se upotrebi samo za jednu jedinu stvar koja je protivpravni delikt.

5. "Što se tiče "opamećivanja", postoji valjda neki zakon. Ako ovo nije protivzakonito, onda nema advokata koji mogu da ga "opamete", jer je sve po zakonu. Ako je protivzakonito, onda bi svašta drugo moralo da bude besplatno da ne bismo bili licemeri."

- Da sam na mestu Nokia-e, vrlo verovatno bih kupio exploit jer odmiče svaki sekund i taj exlpoit svake sekunde može neko drugi da kupi (neka kriminalna grupa, bez problema) i da napravi haos. Ali posle, kada bi exploit bio povučen iz javnosti nakon kupovine, možda bih tada i preko toga rešio da tužim tipa.


Mislim da sam otprilike sve rekao...

Pa standardna prica onih koji nemaju da kazu nesto pametnije pa onda sledi ono nekako provereno "Windows meni donosi pare" ;)

Podseca me na svojevremena prepucavanja likova koji su govorili da Blender nije ni do kolena 3D Studio-a pa kada je izasao Elephant Dream i pojavili se traileri za Big Buck Bunny svi su ostali zapusenih usta

Uostalom nas prijatelj Bloodzero izgleda na kapira da zarada ne zavisi od platforme vec od sopstvenih sposobnosti-to je takodje nesto sto prati i proces odrastanja kojim se on sam razmece ;)
E sada to sto je Win rasprostranjeniji pa na njemu moze da usicari svaka budala koja zna da reinstalira Windows i da napise jednu stranu koda pa je za svoju siru okolinu odmah haker :D je vec prica za sebe...

Ako podjes od pretpostavke da sam ja konkurent Nokie (koji pravi mobilne telefone), onda taj "exploit" za mene ima neku upotrebnu vrijednost (cek da se vidim da li je cijena od 20k evrica opravdana):
- Da vidim kako su nasli rupu, te da se osiguram da meni takvu rupu nece naci.
- Da pravim propagandne filmove gdje demonstriram (samo ono sto kamera vidi) kako Nokia-in telefon "pada" sa sve velikom porukom "Hocete li da se vama ovo desi? Kupite celularni telefon od mene."

I jos jedna stvar za razmisljanje:
- Koliko sam shvatio, u ovom trenutku tip NIJE prodao expoit hakerima, vec samo PRIJETIO da to moze da se desi?

Mozda svima nama nema neke velike (moralne) razlike u tome, ali sto se posljedica tice, te mogucnosti da se tip zakonski (kao "saucesnik", mada je i to pod velikim znakom pitanja da se tako okarakterise) goni, ima itekako razlike.

Apatrid, ni jednoj firmi koja bi htela da vidi da li i kod njih postoji ovakav backdoor ništa neće pomoći sors ovog exploita, tj. kompletan exploit već samo diskusija i priča u kom segmentu Nokia OS-a se desio sigurnosni propust bez otkrivanja ikakvih konkretnih tehničkih detalja vezanih za Nokia-in OS.

"- Da vidim kako su nasli rupu, te da se osiguram da meni takvu rupu nece naci."
"- Da pravim propagandne filmove gdje demonstriram (samo ono sto kamera vidi) kako Nokia-in telefon "pada" sa sve velikom porukom "Hocete li da se vama ovo desi? Kupite celularni telefon od mene.""

Ovo drugo neću da komentarišem, a na ovo prvo sam ti upravo odgovorio.

I da, AKO bi čovek prodao exploit, bez ikakvog pitanja i sumnje bi bio saučesnik (odnosno podstrekač)
I uzmi u obzir da čovek nije ponudio da proda exploit samo proizvođačima mobilnih telefona, već SVIMA.

Kada bih ja imao te pare, kupio bih exploit da bih ga na isti način prodao za 50 kiloevra. Naravno, ciljni kupac je Nokija, ali bi bio ponuđen na tržištu da se ne bi zayebavali.

Drugo, šta ako sam pozaboravljao neke svoje šifre i imam neke važne podatke, pa treba da ohakujem sopstveni telefon da bih došao do njih?

Ja sam mozda propustio neki detalj, ali koliko sam shvatio (i molio bih da me se ispravi ako to nije tako) za sad nema dovoljno detalja da se sa sigurnoscu moze reci da li je "rupa" vezana za Nokia OS, ili za implementaciju protokola. Ako je ovo prvo, Nokia OS, onda nema premnogo koristi za druge proizvodjace. Ako je ovo drugo, postavlja se pitanje da li je nekorekntom implementacijom takvu rupu moguce otvoriti na bilo kom operativnom sistemu.

Da radim za konkurenciju, ja bih volio da pogledam detalje. Naglasavam, da li je to vrijedno 20k evrica ostaje da se vidi. Ali bih volio da bacim pogled.



Tvoje pravo da biras sto ti je interesantno a sto ne. Ja samo da ti kazem da takvo reklamiranje (ovo ne valja, kupite moje) gdje se direktno "sijece" konkurencija, nije nimalo rijetka pojava na sjevernoamerickom kontinentu. Za vecinu ljudi iz Evrope, takva prica je kao reklama cak kontraproduktivna (i ja sam bio zgrozen kad sam se prvi put susreo sa praksom), ali se to na sjevernoamerickom kontinentu RADI.

Ako se prica o moralnosti taktika koje se koriste na trzistu, meni se cini da je lose zanemariti jedne a naglasavati druge.



U tvojim ocima (mozda i mojim). Sto se zakona tice, ulazis u domene "da li su proizvodjaci oruzja odgovorni za zlocine koji se tim oruzjem izvrse", analogije koja je vec ovdje potegnuta. Nije toliko bitno da li je analogija korektna, cini mi se da je fer reci da je pitanje sto bi se dogodilo na sudu... otvoreno.



Svakako. Ali i dalje je to samo prijetnja, dok ne proda.

Pretpostavljam da je cela stvar izgledala ovako:

1. Covek pronasao propust i trazio od Nokije novce za to.
2. Nokija ga iskulirala rekla mu da ode milk some goats or something.
3. Covek smatrao da to nije bas lepo i okacio sta je okacio na svoj sajt, bez prave namere da ikom ista proda.
4. U toku pregovori sa Nokijom, jer su videli da se lik ne zeza a i nije im bas prijatno da ona informacija stoji na sajtu jer oni sami to
nikada ne bi obelodanili i tako ostavili masu u neznanju i nezasticenu.
5. Cim se pregovori zavrse, cova ce da skine ono sa sajta, da uzme kintu i to je to.

Ovo jeste iznuda, ali sasvim opravdana, jer Nokia nikom zivom nece platiti za SVOJE PROPUSTE, pa onda je
bar red da plati liku koji ih je otkrio, ako ne svima ostecenima (a potencijalno ih moze biti podosta).

A opravdana je jer pomaze piscima softvera da shvate da njihova NEODGOVORNOST treba da kosta NJIH, a ne KORISNIKE,
i da korisnici (bar neki) nisu samo ovce s vunom, vec imaju i malo mozga.

Ili to, ili je lik jednostavno skrenuo pažnju na sebe i na svoj sajt....

Napisah 10 reda.. ali zashto, ovi ubedjeni da je trebao da pokloni noki exploit (jer uostalom nokia je njemu poklonila telefon) ce i dalje tako da misle i samo ce rasprava da se razvuche na josh jednu stranu..
U ostalom, ovo je otvoreno trzhishte, demokratija, ako je kriv za neshto po zakonu zavrshice u zatvor, ako nije imace gorak ukus u ustima zbog nemoralne trgovine.. ali ipak ce taj ukus biti za nijansu slabiji od prodavaca oruzhja, zar ne ?

Zelio bi da se na dovezem na SqlByte-a:



Sto znaci da onaj koji bude imo vise para da plati bolje advokate pobjedice :) osim naravno ako nekom takodje velikom igracu nokia ne odgovara pa direktno (kesom, pravnom pomoci) ili indirektno (mediji - svjetsko zlo broj jedan) napravi jos jednom od malo covjeka heroja i iskopaju da mu 20K evra treba za bolesnu baku ili da donira ugrozenoj vrsti pingvina ...

@SqlByte
Ne znam na koga misliš kada kažeš "ovi ubeđeni da je trebalo da pokloni nokia-i exploit", naravno da ne treba da ga pokloni,
ali kao što si i sam rekao, ako je neko po zakonu kriv i advokati nešto preduzmu, ide u zatvor.

Covek je ispravan ima pravo da pokloni ili proda svoj rad kome hoce i za koliko hoce.
Nokia nek napravi fw bez propusta i nece biti ovakvih ispada sve je jednostavno zasto komplikujete situaciju.
Lep primer je Motorola , sav njihov fw mozes da modifikujes ispravis bagove i koristis