Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Sold OUT
no credit
liitunud: 30.07.2002
|
14.09.2021 18:00:35
|
|
|
Osta omale palun mõne eesti väljaande sub. Iga kord kurdad paywalli üle
_________________ People have been calling for a month and we've been sold out for a week or so.
|
|
Kommentaarid: 92 loe/lisa |
Kasutajad arvavad: |
|
:: |
5 :: |
1 :: |
79 |
|
tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
14.09.2021 18:25:45
|
|
|
napoleon, tõesti, lugeda tahad, siis köhi pappi, va kooner selline
|
|
Kommentaarid: 132 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
119 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
14.09.2021 22:01:31
|
|
|
mkay, köhi pappi ja otsi ikka reklaamide vahelt sisu mida pahatihti väga polegi. Tänan, ei. Eks siis lepin sellega et ei tea mis seal paywall taga on.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
maty
Kreisi kasutaja
liitunud: 11.07.2009
|
20.09.2021 14:43:47
|
|
|
Sold OUT kirjutas: |
Osta omale palun mõne eesti väljaande sub. Iga kord kurdad paywalli üle |
Osta ise.
tsitaat: |
Seega ei meeldinud RIAle väärtusliku info andja toon ja see olevatki olnud põhjus, miks tasu maksmisest loobuti. |
Normaalne.
|
|
Kommentaarid: 73 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
63 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
20.09.2021 14:56:21
|
|
|
toon tooniks, aga arvestades suhtumist (papp letti, või muidu..), kuidas oleks keegi saanud üldse kuidagi kindel olla, et selline tegelane seda infot ja andmed niikuinii ei lekita (või et ta seda juba teinud ei ole)? Bounty-süsteemi mõte on osta tundlikku infot, mitte maksta ülbikutele preemiat...
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2021 15:28:18
|
|
|
pppd kirjutas: |
toon tooniks, aga arvestades suhtumist (papp letti, või muidu..), kuidas oleks keegi saanud üldse kuidagi kindel olla, et selline tegelane seda infot ja andmed niikuinii ei lekita (või et ta seda juba teinud ei ole)? Bounty-süsteemi mõte on osta tundlikku infot, mitte maksta ülbikutele preemiat... |
Tüüp ju leidiski bugi ja oli nõus mingi summa eest selle kohta detailsemat infot jagama. Ülbikuks muutus alles siis kui oli infot jaganud ja lubati maksta, kuid see mida ei tulnud oli papp.
Üsna rumal käitumine RIA poolt IMHO. Selge signaal, et kui (pool)kogemata mõnest nende hallatavast süsteemist bugi peaks leidma, siis neile sellest kohe kindlasti teada ei annaks.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
20.09.2021 15:43:34
|
|
|
napoleon kirjutas: |
pppd kirjutas: |
toon tooniks, aga arvestades suhtumist (papp letti, või muidu..), kuidas oleks keegi saanud üldse kuidagi kindel olla, et selline tegelane seda infot ja andmed niikuinii ei lekita (või et ta seda juba teinud ei ole)? Bounty-süsteemi mõte on osta tundlikku infot, mitte maksta ülbikutele preemiat... |
Tüüp ju leidiski bugi ja oli nõus mingi summa eest selle kohta detailsemat infot jagama. Ülbikuks muutus alles siis kui oli infot jaganud ja lubati maksta, kuid see mida ei tulnud oli papp.
Üsna rumal käitumine RIA poolt IMHO. Selge signaal, et kui (pool)kogemata mõnest nende hallatavast süsteemist bugi peaks leidma, siis neile sellest kohe kindlasti teada ei annaks. |
No papp jäi tulemata ikka suures osas selle pärast, et tegelane ähvardama hakkas. Konfidentsiaalsusnõue käis algse rahalubamise juurde, kui see minema visata, siis jääb väga vähe järgi, mille eest raha küsida.
Ja kui küsida tohib, siis mida sa selle avastatud bugiga siis tulevikus peale hakkad? Müüd pättidele või jätad enda teada?
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2021 15:52:00
|
|
|
pppd kirjutas: |
Ja kui küsida tohib, siis mida sa selle avastatud bugiga siis tulevikus peale hakkad? Müüd pättidele või jätad enda teada? |
Ilmselt jätaks enda teada. Pättidele müümine oleks juba kuriteole kaasaaitamine ja seda jama pole mulle kohe kindlasti vaja.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
H_K
Aeg Maha 2n
liitunud: 09.01.2002
|
20.09.2021 16:06:45
|
|
|
Kirjavahetusest jäi küll mulje, et riigiamet üritas teadjalt igati välja õngitseda need turvaaugud, samas tasu osas lubadused olid umbmäärased ja jäid seda lõpuni välja. Kui turvaaukude täpne kirjeldus saadi ja augud ära lapiti, saadeti kehva taustaga rahatahtja otsitud põhjendusega pikalt.
See konfidentsiaalsusnõue ei ole samuti hea signaal, mõne teise "turvanõrkuse" avalikustamiseks on tehtud suur pressikonverents ja lausa eraldi rõhutatud, kuidas e-riik on ka turvaasjades läbipaistev ja ka negatiivseid seiku ei varjata. Riigiameti tung konfidentsiaalsuse-varjamise järgi räägib pigem muud, kus suure läbimõeldud kommunikatsiooniga, et mitte öelda propagandakastmes avalikustatatakse need juhtumid, kus ei õnnestu juhtumit varjata (info "turvanõrkuse" kohta v andmed ise on juba lekkinud või on Eesti võimude vaigistamise haardeulatusest väljas) aga üldine foon ja tahtmine on pigem mitteavalikustada ja nõrkused ära menetleda-lappida varjatult.
See sunnib küsima, kuipalju on veel auke ja nõrkusi, mida avalikkus ei tea.
Mõneti tung varjata on mõistetav ja võrreldav natuke pankadega, kes samuti tihti ennem maksavad kinni kliendile tekkinud kahjud, sest pank nagu ka e-riigi kuvand müüb ellkõige usaldust ja iga raha jalutama minek või riigi puhul potentsiaalne andmeleke õõnestab usaldust.
Natuke mehe enda süü ka, et sedasi lihtsameelselt lasi end riigiasutusel ära lollitada, võinuks kergesti avaldada esmalt ühe turvaaugu ja raha vastu võtta ja alles seejärel teise.
Üldiselt e-riik tõmbab sellise käitumisega endale tulevikus vee peale pretsedendi najal on vähegi kõhkleval tegelasel mõistlik esmalt üritada teadmine rahaks teha muul viisil, kui süsteemi haldaja poole pöörduda.
_________________ --------------- |
|
Kommentaarid: 53 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
51 |
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
20.09.2021 16:51:17
|
|
|
pppd kirjutas: |
napoleon kirjutas: |
pppd kirjutas: |
toon tooniks, aga arvestades suhtumist (papp letti, või muidu..), kuidas oleks keegi saanud üldse kuidagi kindel olla, et selline tegelane seda infot ja andmed niikuinii ei lekita (või et ta seda juba teinud ei ole)? Bounty-süsteemi mõte on osta tundlikku infot, mitte maksta ülbikutele preemiat... |
Tüüp ju leidiski bugi ja oli nõus mingi summa eest selle kohta detailsemat infot jagama. Ülbikuks muutus alles siis kui oli infot jaganud ja lubati maksta, kuid see mida ei tulnud oli papp.
Üsna rumal käitumine RIA poolt IMHO. Selge signaal, et kui (pool)kogemata mõnest nende hallatavast süsteemist bugi peaks leidma, siis neile sellest kohe kindlasti teada ei annaks. |
No papp jäi tulemata ikka suures osas selle pärast, et tegelane ähvardama hakkas. Konfidentsiaalsusnõue käis algse rahalubamise juurde, kui see minema visata, siis jääb väga vähe järgi, mille eest raha küsida.
Ja kui küsida tohib, siis mida sa selle avastatud bugiga siis tulevikus peale hakkad? Müüd pättidele või jätad enda teada? |
Mis ähvardamine? Lugedes kirjavahetust ei hakka silma mingit ähvardamist Boiko poolt.
H_K kirjutas: |
Kirjavahetusest jäi küll mulje, et riigiamet üritas teadjalt igati välja õngitseda need turvaaugud, samas tasu osas lubadused olid umbmäärased ja jäid seda lõpuni välja. Kui turvaaukude täpne kirjeldus saadi ja augud ära lapiti, saadeti kehva taustaga rahatahtja otsitud põhjendusega pikalt.
See konfidentsiaalsusnõue ei ole samuti hea signaal, mõne teise "turvanõrkuse" avalikustamiseks on tehtud suur pressikonverents ja lausa eraldi rõhutatud, kuidas e-riik on ka turvaasjades läbipaistev ja ka negatiivseid seiku ei varjata. Riigiameti tung konfidentsiaalsuse-varjamise järgi räägib pigem muud, kus suure läbimõeldud kommunikatsiooniga, et mitte öelda propagandakastmes avalikustatatakse need juhtumid, kus ei õnnestu juhtumit varjata (info "turvanõrkuse" kohta v andmed ise on juba lekkinud või on Eesti võimude vaigistamise haardeulatusest väljas) aga üldine foon ja tahtmine on pigem mitteavalikustada ja nõrkused ära menetleda-lappida varjatult.
See sunnib küsima, kuipalju on veel auke ja nõrkusi, mida avalikkus ei tea.
Mõneti tung varjata on mõistetav ja võrreldav natuke pankadega, kes samuti tihti ennem maksavad kinni kliendile tekkinud kahjud, sest pank nagu ka e-riigi kuvand müüb ellkõige usaldust ja iga raha jalutama minek või riigi puhul potentsiaalne andmeleke õõnestab usaldust.
Natuke mehe enda süü ka, et sedasi lihtsameelselt lasi end riigiasutusel ära lollitada, võinuks kergesti avaldada esmalt ühe turvaaugu ja raha vastu võtta ja alles seejärel teise.
Üldiselt e-riik tõmbab sellise käitumisega endale tulevikus vee peale pretsedendi najal on vähegi kõhkleval tegelasel mõistlik esmalt üritada teadmine rahaks teha muul viisil, kui süsteemi haldaja poole pöörduda. |
Jep. See, et nad ei saanud maksta, kuna pidid enne kontrollima kas antud auke oli juba jõutud ära kasutada on BS. Ükski bug bounty programm ei toimi nii. Vea leidjal pole enam mingit seost sellega kas seda viga on keegi jõudnud ära kasutada või mitte. Tema on oma osa teinud ja ootab tasu. Neid logisid oleks võinud hiljemgi uurida. Otsitud põhjendus.
Lisaks summa oli niii naeruväärselt väike riigi kontekstis, et vastav RIA ametnik oleks võinud selle isegi oma kontolt maksta ootamata riigipoolset asjaajamist. Ja siis tegelenud riigiga ise tagantjärgi.
Ma mõistan, et riigiasutus ei saa lihtsalt niisama mingeid ülekandeid tehe kellelegi aga kamoon. Mingi lepingu allkirjastamine, klauslid, bürokraatia. Boiko polnud penetration tester kes on lepingulises suhtes. Bug bounty maksmiseks pole mingt lepingut vaja välismaal.
See annab jah tulevikuks halva signaali. Kui aus inimene juhtub vea otsa, siis ta pigem jätab teatamata, kuna võib ise uurimise alla sattuda ja tagatipuks tehakse veel patuoinaks samuti.
Kui ebaaus või halb inimene selle avastab, siis kas üritab ise seda ära kasutada või müüb tumedas veebis maha.
Parem küsimus on selles, et miks RIA'l seni bug bountry programmi polnud? See ei ole uus asi. Välismaal on need proogrammid toiminud pikemat aega ja seda ka vähe turvalisust nõudvates kohtades a'la Steam kus Valve maksis üle 9000 kellelegi kes leidis võimaluse lõputult mänge enda kontole lisada (või oli see lõputult krediiti nende ostmiseks).
Meil ei ole samas seda isegi elutähtsate teenuste jaoks. Absurdne.
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
20.09.2021 17:03:39
|
|
|
Tomorrow kirjutas: |
pppd kirjutas: |
napoleon kirjutas: |
pppd kirjutas: |
toon tooniks, aga arvestades suhtumist (papp letti, või muidu..), kuidas oleks keegi saanud üldse kuidagi kindel olla, et selline tegelane seda infot ja andmed niikuinii ei lekita (või et ta seda juba teinud ei ole)? Bounty-süsteemi mõte on osta tundlikku infot, mitte maksta ülbikutele preemiat... |
Tüüp ju leidiski bugi ja oli nõus mingi summa eest selle kohta detailsemat infot jagama. Ülbikuks muutus alles siis kui oli infot jaganud ja lubati maksta, kuid see mida ei tulnud oli papp.
Üsna rumal käitumine RIA poolt IMHO. Selge signaal, et kui (pool)kogemata mõnest nende hallatavast süsteemist bugi peaks leidma, siis neile sellest kohe kindlasti teada ei annaks. |
No papp jäi tulemata ikka suures osas selle pärast, et tegelane ähvardama hakkas. Konfidentsiaalsusnõue käis algse rahalubamise juurde, kui see minema visata, siis jääb väga vähe järgi, mille eest raha küsida.
Ja kui küsida tohib, siis mida sa selle avastatud bugiga siis tulevikus peale hakkad? Müüd pättidele või jätad enda teada? |
Mis ähvardamine? Lugedes kirjavahetust ei hakka silma mingit ähvardamist Boiko poolt.
|
No ma eeldan millegipärast, et see ei ole päris tühja koha pealt:
Margus Noormaa kirjutas: |
„Kuna andsime ka kirjavahetuses mõista, et vajame rohkem aega konkreetse tasu maksmisega seotud asjaolude selgitamiseks ja lahenduse leidmiseks, siis pärast mõningase viivituse tekkimist asus algselt riigiga koostööst huvitatud inimene näitama üles teistlaadi suhtumist (šantažeeris ja mõnitas), samuti lubas mitte kinni pidada konfidentsiaalsusnõudest, ehk eiras neid tingimusi, milles olime kokku leppinud. Kuna koostöö üks põhieeldusi on usaldus, siis kirjeldatud teguviisiga inimene kuritarvitas seda usaldust, mistõttu oleme teinud otsuse honorari mitte tasumise kasuks," |
https://forte.delfi.ee/artikkel/94629671/taispikkuses-kirjavahetus-paljastab-et-ria-tombas-suurtele-turvaaukudele-viitaja-oma-lubadustega-lihtsalt-haneks
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
jägaja
HV Guru
liitunud: 06.08.2004
|
20.09.2021 17:19:02
|
|
|
pppd, kas RIA seda tõestab ka mingil viisil, et kuidas "mõnitamine" ja "ähvardamine" välja nägid?
Ei ole, vägisi paistab asi nii, et inimese lausmustamine käib, pidades silmas praegu avalikustatud kirjavahetust.
|
|
Kommentaarid: 132 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
119 |
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
20.09.2021 17:22:20
|
|
|
pppd, See on RIA esindaja tõlgendus. Kuskil pole välja toodud neid lauseid kus see šantažeerimine ja mõnitamine aset leidis väidetavalt.
Vaatasin ka kirjavahetuse mis artiklis oli üle uuesti ja peale paari mõnitava torke Boiko poolt ei näe kuskil seda šantažeerimist millest RIA räägib. Kui RIA väidab, et Boiko seda teinud on, siis on selle jaoks vaja ka tõestust. RIA ametniku sõnast ükski siin ei piisa.
Olen üsna kindel, kui asi läheb kohtusse, siis RIA kaotab selle.
Hetkel tundub, et Boiko muutus arusaadavalt kärsituks ja RIA'le ei meeldinud tema toon ja seega jäeti raha maksmata. Lisaks serveeriti tema "tabamist" kui mingit suurt võitu küberkuritegevuse vastu. Kas keegi on tõesti nii naiivne arvates, et Boiko laadis on koduse ebaturvalise ühenduse tagant alla 300k inimese dokumendifotod eesmärgiga kriminaalset tulu teenida? Või oli see osa turvaaugu testimisest.
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
20.09.2021 17:36:48
|
|
|
no eks see on ka üks võimalik variant, et RIA peadirektor valetab räigelt ja labaselt. Muidugi oleks vastava sisuga kirja puudumine seletatav ka teisiti, tasub ainult mõelda, et kellelt see kirjavahetus (koos võimalike kärbetega) pärineda võib... Minul isiklikult pole aimugi, mis täpselt toimus, nii et las igaühele jääda oma arvamus.
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
Tomorrow
HV Guru
liitunud: 08.02.2006
|
20.09.2021 17:41:36
|
|
|
pppd, Loodetavasti see kohtus selgeks vaieldakse kes või mida ütles. Muidugi inimesed on ka erinevad ja nende suhtusstiil on erinev. Näiteks minu ema on väga familiaarse või siis otsekohese suhtusstiiliga mis ametnikega asju ajades võib arusaamatusi põhjendada. Samas mina olen palju diplomaatilisem ja oskan vajadusel üsna bürokraatlikult vastata ilma ähvardusi pildumata või labaseks muutumata. Seetõttu ma suhtlengi kui tal midagi vaja on
|
|
Kommentaarid: 89 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
79 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2021 17:43:54
|
|
|
Peadirektor ei pruugi ju teadlikult valetada. Võib-olla tõusiski tagajalgadele puhtalt selle peale, et keegi tema kui suure ja tähtsa tegelase aadressil paar krõbedamat sõna julges öelda.
Aga oli mis oli, kuna jutt on üsna naeruväärsest summast riigi jaoks, siis oleks olnud igati mõistlik see ära maksta. Praegu tulistasid nad sellega küll endale mõlemasse jalga
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
kussu
HV veteran
liitunud: 18.12.2002
|
|
Kommentaarid: 69 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
68 |
|
tagasi üles |
|
|
napoleon
Unknown virus
liitunud: 08.12.2008
|
20.09.2021 18:36:08
|
|
|
Ehk täpselt nagu ma eelmises postis ütlesin
napoleon kirjutas: |
Praegu tulistasid nad sellega küll endale mõlemasse jalga |
Vahet pole kas ja mis infot konkreetselt sellel Boikol on, aga kes iganes teine mingi turvaaugu leiab, mõtleb ilmselt samamoodi.
|
|
Kommentaarid: 76 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
59 |
|
tagasi üles |
|
|
|