¿Por qué se publican las vulnerabilidades descubiertas de software en línea sospechoso / ilegal? [cerrado]

Question

¿Por qué se publican las vulnerabilidades descubiertas de software en línea sospechoso / ilegal? [cerrado]

#1 de ApertureSecurity (3 votos)

-2

Por ejemplo, Tor network se ha visto afectada recientemente por una revelación de un gran exploit en un trabajo de investigación.

¿No se publican los detalles sobre las vulnerabilidades por completo contraproducentes, ya que los desarrolladores de Tor pueden encontrar la vulnerabilidad y emitir una solución? ¿No sería mejor no publicar un artículo y, en cambio, trabajar con las autoridades?

Para el registro, no tengo nada en contra de Tor, ya que creo que el anonimato puede ser algo bueno si el usuario no hace nada ilegal. Desafortunadamente, no todos son así. En segundo lugar, también soy consciente de que a las empresas de investigación les gusta publicar artículos para aumentar su reputación dentro de la comunidad, pero les pregunto si su palabra dura sería más efectiva si no compartieran sus resultados con todos .

Esto se debe principalmente a la curiosidad y se puede considerar una * pregunta de opinión personal * en cuyo caso, con mucho gusto, eliminaré esta publicación.

exploit internet tor

pregunta Joseph 27.08.2015 - 11:56

fuente

1 respuesta

Lea otras preguntas en las etiquetas exploit internet tor

archivos de cifrado Cryptowall Conectarse a un módem Wi-Fi sin contraseña [cerrado]

score 3 · Accepted Answer

Creo que parcialmente tienes la idea.

Esto me recuerda cuando vi el lanzamiento de aircrack-ng y muchos criticaron que se usaría maliciosamente y quizás hasta cierto punto lo haya hecho. Sin embargo, puede observar la forma en que la seguridad inalámbrica ha crecido y se ha vuelto considerablemente más segura, simplemente por la cantidad de conciencia.

Otro ejemplo, es que para un pentester podría ser necesario tener una vulnerabilidad de trabajo & & explotar para demostrar y producir un informe en el que están tratando de convencer el cambio real y la conciencia del impacto real. No creo que los Pentests mantendrían su impacto y efectividad si fueran una simple lectura de CVE sobre una vulnerabilidad potencial y no una acción real tangible detrás de ellos.

Crackers y miscreants siempre comparten exploits y no pasa mucho tiempo para que alguna herramienta esté flotando. Si se deja salir, se arreglará y no se ignorará.

Por lo general, para WordPress, veo esto, donde alguien comprometerá una funcionalidad en WordPress y la extenderá a los foros sin seguir un procedimiento de notificación y remediación de la vulnerabilidad.

Esto se puede hacer accidentalmente y es posible que el autor no sepa que se conoce la vulnerabilidad y, por lo general, solo quieren hablar sobre lo que encontraron al ser curiosos.

Supongo que en resumen, algunas motivaciones incluyen. Para crear conciencia, presumir, hacer una solución real o compartir curiosidad.