Perchè assumere un virus writer

Dylan666 il 18 Novembre 04 @ 11:55 am

Da un Report di qualche tempo fa:

La Security exchange commission fu voluta dal presidente Roosvelt, per controllare la borsa dopo la crisi del 29. Fu lui a nominarne primo presidente Joseph Kennedy. Le sue felicitazioni al neo eletto furono le seguenti: "Per prendere un ladro ci vuole un altro ladro".

Quando dissi io che la conoscenza dei virus writer andava "re-impiegata" a vantaggio degli utenti contro i software maligni sono stato preso per pazzo...
http://www.pc-facile.com/news.php?p=0&n=18690

pjfry il 18 Novembre 04 @ 12:01 pm

tu hai detto che andava premiato...

Dylan666 il 18 Novembre 04 @ 12:12 pm

Cito testualmente:

Un uomo come quello più che arrestato va premiato!
Ha fatto capire a tutto il mondo che molti sistemi operativi stanno in piedi per miracolo con buchi da tutte la parti. Fossi in Microsoft gli pagherei la cauzione e me lo metterei nel team di ricerca delle falle alla sicurezza!

Se poi essere assunti dalla SecurePoint non è un riconoscimento delle abilità di virus writer e il suo stipendio indirettamente un premio per quello che ha fatto (senza virus magari ora sarebbe disoccupato) dimmi tu in che ottica va vista l'assunzione...

pjfry il 18 Novembre 04 @ 12:17 pm

beh ma infatti stanno ricevendo + critiche che elogi, mi pare, o no?

Dylan666 il 18 Novembre 04 @ 12:29 pm

Probabilmente è anche un peccato non sfruttare le potenzialità di una simile risorsa, ma credo che sia più utile in un centro di ricerca e sviluppo, dove non ci sono contatti con clienti e applicazioni commerciali.


A me pare che con una visione meno manichea e forse un po' più imprenditoriale c'è chi non si scandalizza più di tanto...
Che poi le critiche siano più degli elogi mi importa poco, da quando in qua il numero fa la ragione?

PS: non ci credo che il virus-writer sia tanto pirla da creare malware che danneggino la società che lo paga...

PPS: Io nella mia azienda non farei certo gestire i database dei clienti contenenti dati sensibili e di valore commerciale a chi si macchia di simili reati.
Ma chi ha detto che il suo lavoro lo porti a contatto con materiale sensibile? O_o
Magari deve solo creare POC e mandarli via mail... Almeno da questo articolo no si evince il suo impiego specifico, controllerò altrove...

pjfry il 18 Novembre 04 @ 12:36 pm

http://www.pc-facile.com/ ... zione_securepoint_n24651/
c'è anche questa... non è questione di mentalità imprenditoriale, sarà anche conveniente prenderlo ma non è giusto premiarlo prima di averlo punito a dovere... è una questione di principio, di esempi, considerala come vuoi.
non mi piace esagerare, ma non ti sembra conveniente prendere dei terroristi in un'impresa di demolizioni?

"Che poi le critiche siano più degli elogi mi importa poco, da quando in qua il numero fa la ragione?"
scusa, cos'è che fa la ragione? la fai tu? :)

dado il 18 Novembre 04 @ 12:38 pm

E' il destino di tutti i maggiori hacker e virus writer... si presentano loro di solito due opportunità:
- la galera;
- lavorare per un'azienda informatica o per il governo (ad es. Pentagono).

Cosa scegliereste voi fra le due cose? ;-)
Inoltre, potendo usare in modo costruttivo (e non distruttivo) le loro conoscenze e la loro esperienza, mi sembra piuttosto normale quanto successo.

Dylan666 il 18 Novembre 04 @ 13:00 pm

La ragione la fanno i fatti, se la facesse la maggioranza staremmo ancora appresso a chi pensava la terra piatta. Un fatto è che qualcuno ci pensa a convogliare certe menti brillanti in azioni utili socialmente, quindi di per se l'idea non può essere considerata folle (o una ca...volata, citando le tue parole dell'altro post) ma è almeno discutibile (sul fronte dei pro e dei contro).

Diciamo che non va premiata la creazione del virus in sé, ma l'intelligenza che c'è dietro. Allora la pena monetaria o di reclusione è giusta (il vocabolo "premio" era chiaramente una provocazione) ma la riabilitazione del reo in un'occupazione utile per lui e per noi non mi pare una cosa scandalosa.

Dylan666 il 18 Novembre 04 @ 13:09 pm

Aggiungo 3 cose:

1.http://www.pc-facile.com/hbedv_sospende_collaborazione_securepoint_n24651/
c'è anche questa...
È la stesa identica notizia...

2. Il parallelismo con terroristi e demolizioni non mi pare pertinente

3. Sempre citando il caso Abagnale:
After five years he was released on the condition that he would help the federal government, without remuneration, by teaching and assisting federal law enforcement agencies.


Come vedi si possono anche conciliare pena e lavoro con equi compromessi...

pjfry il 18 Novembre 04 @ 13:53 pm

tu hai detto che invece che arrestato andava premiato.
Io dico che prima di lavorare in quel campo deve pagare per i danni che ha fatto e dimostrare di non avere + intenti dannosi, altrimenti può sembrare che invece che mandare curriculum il modo migliore per trovare lavoro sia farsi notare con virus e worm.

Dylan666 il 18 Novembre 04 @ 14:05 pm

Apparte che parlo di Microsft che paga la cauzione, e poi dai che lo avevi capito che la parola "premio" era solo una provocazione (e infatti così la definisci nell'altro post). Sono polemiche con cui ti attacchi veramente a poco...

Dylan666 il 18 Novembre 04 @ 14:11 pm

[quote"pjfry"]Io dico che prima di lavorare in quel campo deve pagare per i danni che ha fatto e dimostrare di non avere + intenti dannosi[/quote]
Dimenticavo: ma ti pare che fai passare del tempo per sfruttare le conoscenze sui sistema attuali? Proprio nel campo dell'informatica in cui prima si previene un bug e meglio è? È come se volessi ascoltare quello che un pentito di mafia ha da dire sui crimini attuali solo fra degli anni... Ti pare sensato? O_o
È chiaro che lo sfruttamento e la pena devono trovare un compromesso per lavorare nel presente...

pjfry il 18 Novembre 04 @ 14:12 pm

uff... lascia stare premio o non premio, non è quello il problema... il problema è pagare o no per i danni fatti
kevin mitnick lavora nella sicurezza informatica, ma prima si è fatto anni di galera per aver fatto molti meno danni di questo personaggio.
Non hai pensato che potrebbero averlo assunto per farsi pubblicità e non per le effettive capacità tecniche?

pjfry il 18 Novembre 04 @ 14:13 pm

lo facciano lavorare dalla prigione, allora :)

Rosaspina il 18 Novembre 04 @ 14:30 pm

Il problema è che il messaggio che rischia di arrivare sembra essere: più danni fai col tuo virus più sei bravo, ergo trovi un ottimo lavoro.
Credo il succo di queste due pagine sia tutto qui,o sbaglio?

Dylan666 il 18 Novembre 04 @ 15:11 pm

Qui si comincia col fare casino:

1) non ha mai detto che lui non debba pagare (se non in mdo palesemente provocatorio abbiamo detto),e ho riportato in entrambe le news citazioni di Abagnale e lui la galera se l'è fatta

2)la punizione non è roba che compete la ditta che assume il lavoratore: ci deve pensare lo stato.

3)la polemica dei soci della SecurePoint non riguardano certo il messaggio che arriva. Che gli importa? Riguarda la cattiva pubblicità che un pubblico male informato potrebbe farsi immaginando il virus writer che sfrutta il suo lavoro come ulteriore mezo di propagazioni virali.

4)lo hanno fato solo per pubblicità? Se lo tengono buono (sai che scandalo se fa un'altro virus) è comunque un vantaggio per me.

Rosaspina il 18 Novembre 04 @ 15:49 pm

Io non vedo alcun casino.
Nessuno dei 4 punti cmq risponde alla mia domanda. Pj ha giustamente ipotizzato che il messaggio che arriva da questa news si puo' sintetizzare con: il crimine paga. E' come se per reclutare nuovi piloti di formula uno si andasse a pescare tra i pirati della strada (notare l'attinenza con hacker - pirata informatico).

Dylan666 il 18 Novembre 04 @ 16:15 pm

Il casino sta nel fatto che la diffidenza delle aziende associate alla SecurePoint, che era l'oggetto della discussione, non è imputabile alla dubbia (secondo voi)la moralità della scelta.
Ma se la domanda di cui parli è quest'ultima (è una scelta morale?) rispondo subito. Intanto non continuate con accostamenti poco idonei:ti risulta che in Formula1 si vinca solo correndo forte? Ti pare gli atti di pirateria vengano trasposti in positivo correndo in pista? Ti pare che uno che va a 200 sull'autostrada mandando fuori strada altri autoveicoli sia un potenziale Barrichello???

Continuiamo con un esempio pertinente e noto, il caso Abagnale se non me ne trovate uno più aderente. Era un truffatore e PARTE della pena gli è stata convertita in una collaborazione forzata e non retribuita con l'FBI. Poi è uscito e ha continuato a lavorare come anti-truffatore (quindi è stato rieducato, scopo primario della legge).

Potendo fare la stessa cosa coi virus writer, quali lati negativi ci sarebbero? Nessuno. Ora voi mi dite: ma lui non ha ancora scontato nessuna pena: ma è colpa della SecurePoint? Ma se intanto che lo cercano e lo condannano fa un Netsky di meno e un POC di più tanto meglio per tutti, no? Anche se gli danno 50.000 euro al mese, ti pare una cifra paragonabile ai milioni che si potrebbero perdere per colpa del prossimo worm di XP?

PS:la notizia spinge i giovani a diventare pirati informatici per essere assunti? Ma vi pare che "Catch me if you can" ha fatto aumentare le truffe in america??? O_o

pjfry il 18 Novembre 04 @ 16:29 pm

il casino sta nel fatto che tu hai cominciato così :
"Quando dissi io che la conoscenza dei virus writer andava "re-impiegata" a vantaggio degli utenti contro i software maligni sono stato preso per pazzo..."

sei stato 'preso per pazzo' perchè non parlavi solo di assumerlo, ma anche di non arrestarlo... hai anche concluso così:
"Far piantare i sistemi di mezzo mondo è necessario per far migliorare il prodotto: dato che non c'è una vera e propria concorrenza non vedo altre maniere."
e io non sono assolutamente d'accordo... e se citi quella discussione non posso fare a meno di risponderti

P.S.: non siamo solo noi a fare accostamenti poco attinenti... chi vuoi che si metta a fare truffe sugli assegni quando basta generare un numero di carta di credito? e secondo te il phishing sta aumentando o diminuendo?

Dylan666 il 18 Novembre 04 @ 16:56 pm

Ancora con questo NON arrestarlo: dicevo di pagare la cauzione (quindi l'arresto ci doveva essere) e il "premio" dicevi di aver capito che era provocatorio... Il fatto che certe volte la gante debba sbatterci la faccia sulla importanza di una patch non scaricata per capire quanto è vitale avere tutti i Windws Update e quanto è brutto avere un prodotto senza concorrenti che lo spingano a perfezionarlo non me lo rimangio.

Ammesso che le truffe vecchia maniera siano in calo (e non credo proprio) di Abagnale (e di writer di Netssky) ce ne sono pochi, non sono imitabili per astuzia. Quindi quei pochi che ci sono è bene averli dalla prorpia parte...

Rosaspina il 18 Novembre 04 @ 21:53 pm

.
Ma se la domanda di cui parli è quest'ultima (è una scelta morale?) rispondo subito. Intanto non continuate con accostamenti poco idonei:ti risulta che in Formula1 si vinca solo correndo forte?
Dylan, sono iperboli, esagerazioni grottesche,battute, chiamale come ti pare ma non prenderle alla lettera. E' ovvio che è un'assurdità, ma è per dire che nn credo che i migliori esperti di sicurezza siano stati virus writer,come alcuni potrebbero pensare leggendo questo tipo di notizie! Semplicemente,sono più noti di tanti oscuri e validissimi professionisti.
.ma lui non ha ancora scontato nessuna pena: ma è colpa della SecurePoint?
Mai scritto o pensato una sciocchezza simile. Il discorso è molto più generale e ozioso, alla fin fine si riassume con: è corretto dare tanto spazio a queste persone e mostrarle in un certo modo?
PS:la notizia spinge i giovani a diventare pirati informatici per essere assunti?
Mai detto una cosa del genere, bensì chiesto a Fry se questo era il succo del discorso fino a quel punto.
Ho parlato inoltre di messaggio, nn sono ipotizzabili in questa sede eventuali effetti, se non pour parler, appunto. Ci stiamo prendendo un pò troppo sul serio mi sa :)

Dylan666 il 18 Novembre 04 @ 23:59 pm

Nonono, io sono pronto a scherzare :)
Che nella prevezione virus ci siano tanti esperti della sicurezza poco noti ma che fanno grandi lavori sono daccordo, ma se si fossero potuti evitare Sasser e Netsky sai che gran colpo sarebbe stato per tanti... Infondo sono stati 2 worm peggiori per XP insieme al Blaster...

ale il 19 Novembre 04 @ 12:13 pm

Se assumi il vandalo non lavori più con me
H+Bedv, azienda tedesca che si occupa di sicurezza, ripudia pubblicamente il partner SecurePoint. Il motivo è il contratto di formazione stipulato tra quest'ultima e Sven Jaschan, l'autore di Sasser e Netsky.

"H+Bedv Datentechnik GmbH ha deciso di sospendere temporaneamente la collaborazione con il proprio partner SecurePoint GmbH, con sede a Lüneburg in Germania, dopo che quest'ultima ha stipulato un contratto di formazione con il presunto autore dei worm Sasser e Netsky" . Fine di un matrimonio (a dire il vero, non destinato forse a fare parlare di sé in maniera imperitura) decretata in poche, risentite righe. Con una piccola correzione da apportare: il "presunto autore" è in realtà un "reo confesso", e risponde al nome di Sven Jaschan, la cui vicenda tiene ancora banco nella natia Germania.

"Vediamo con occhio critico l'assunzione di un programmatore di virus. Il tentativo molto lodevole di dare a un presunto autore di virus una seconda possibilità deve essere bilanciato con gli interessi di sicurezza dei nostri clienti", ha spiegato il CEO Tjark Auerbach.
Di Sasser e Netsky ormai si sa tutto: specie il primo è un worm tra i più prolifici della storia, arrivando - a causa di una vulnerabilità di Windows e di una patch non installata (la MS04-011) - a rappresentare secondo H+Bevd (il cui prodotto più noto è l'antivirus AntiVir, disponibile anche nella versione gratuita Personal Edition) il 70% delle infezioni registrate nel primo semestre del 2004.

Ma non di solo Jaschan si vive: un altro scrittore di malware ha recentemente trovato lavoro presso un'azienda che commercializza antivirus. Nome in codice Benny, membro del gruppo 29A (esadecimale di 666, il cosiddetto Numero della Bestia), l'ex cattivo ora pentito sarà responsabile del futuro Zoner Antivirus, che la piccola azienda ceca prevede di realizzare per diversificare le proprie attività, che spaziano dalla grafica al multimediale.

News tratta da Mytech.it