anti-sec == bad mofos

Jaz sem za full-disclosure. Seveda ne tako, da se takoj objavijo podrobnosti oz. exploit, ampak nek odgovoren full-disclosure je pa pomoje ok. Ce vendor x mesecev ne odgovori na posredovan opis varnostne ranljivosti, najbrz ni problema, ce se zadeva objavi sirsi publiki. Ce ne drugega je lahko nekdo drug (zlobnez) loceno odkril isti problem. V tem casu bi ze lahko bil varen pred tem napadalcem, pa vseeno nisi. Vecji pritisk javnosti lahko povzroci, da bo proizvajalec kaj ukrenil glede varnosti, ali pa izgubil stranke. V koncni fazi so vsi uporabniki na boljsem.

Nekaj casa po objavi popravka oz. napake tudi nima vec smisla skrivati dodatnih podrobnosti. Napadalec bo teoreticno lahko pregledal popravek in iz njega izluscil kaksna je bila napaka ter jo mnozicno izkoriscal. Uporabnik sicer ima popravek, ampak ni pa nujno da ga bo takoj uporabil. O problemu enostavno ne ve dovolj (potrebuje opis napake in kaj popravek naredi, ne pa samo "to je to"). Mogoce se sploh ne zaveda unicujocih posledic napake. Z neko PoC kodo se da posledice tudi manj izkusenemu uporabniku bolj nazorno prikazati. Seveda ni nujno, da je ta exploit tak da ga script-kiddiji lahko direktno uporabljajo za napad na druge sisteme. Pa tudi sicer panika ni tako slaba, lahko pomaga bolj lenim administratorjem pri namescanju varnostnih popravkov.

V bistvu je to za kar se Anti-Sec bori precej neumno. Kot bi rekel, da bodo teroristi podtikali bombe kot protest proti izdelovalcem eksploziva, ker ta terja prevec cloveskih zivljenj.
Clovek se vprasa, ce jih moti neodgovoren full-disclosure ali samo to, da njihovi 0-day exploti ne bodo vec tako dolgo tajni kot bi sicer lahko bili in bodo tako delali kaos zaradi tega, ker jim hocejo prepreciti, da bi delali kaos.

Malenkostno noro imo.