-
Data: 2023-12-08 18:11:09
Temat: Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi
Od: heby <h...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 08/12/2023 15:37, io wrote:
>> One dokładnie wyjasniają w prosty sposób ja bardzo *niemożliwe* jest
>> aby lewy kod dostał się do repozytorium. Nie potrzebujesz nic innego,
>> jak tylko prawidłowe metody pracy z kodem, aby wykluczyć takie numery
>> na poziomie świadomej manipulacji, wstrzyknięcia kodu przez hackerów itd.
> Ale wymaga się standardów a nie "współczesnych metod kontroli jakości"
To jedno i to samo.
Róznica głównie w tym, że standardy mają dużo dodatkowych detali, które
tylko zaciemniają koncept przejrzystości kodu, ale czerpią całymi
garściami z tych współczesnych metod.
> więc po co się rozpędzać. Być może ich nawet nie spełniali, ale też
> kiedy te pociągi były robione, jak odbiorca nie chciał zgodnie ze
> standardem to nie dostał.
Pojmijając kwestie prawne, jestem najzwyczajniej ciekaw, jako
programista właśnie, jak to wygląda od kuchni. Opowieści ludzi, którzy
przeżyli gułagi typu embedded, są straszne.
>> Czyli znowu: ktoś był na tyle głupi, co w świecie embedeed jest normą,
>> że nie wprowadził dobrych metod pisania kodu z całą otoczką code
>> review, coverage, statycznej analizy, podpisywania plików źródłowych i
>> wynikowych i masy innych utrzymujących jakośc i przy okazji
>> eliminujących możliwośc włożenia lewego kodu.
> Mógł weryfikować, ale już zabezpieczenia przed lewym kodem nie zrobił.
Trodno to nazwać zabezpieczeniami. To normalne praktyki w normalnej
firmie programistycznej, ktore *przypadkowo* są również zabezpieczeniem
przed "wstrzykiwaniem" podejrzanwgo kodu. To darmowe ciastko.
>> Najzwyczajniej, jak to bywa w dziadofirmach, "repozytorium" to wspólny
>> katalog na \\dupa\build z kodem zmienianym w czasie rzeczywistym,
>> który kierownik raz dziennie w pocie czoła kompiluje zmawiając
>> jednoczesnie modlitwę.
> Przestań, firmy jednak są dalej. Nie wiem jak dokładnie Newag, ale nie
> mam powodu podejrzewać, że nie.
No, ale jeśli to jednak był:
1) spisek kierownika
2) atak hackerów
To dokładnie tak to wygląda. Nie kontrolują co kompilują i instalują w
pociągach.
A jeśli zrobiono to "gdzieś po drodze", to nie kontroluja jaki kod jest
wykonywany na maszynie.
Każda ewentualnośc świadczy o daleko idącym dziadostwie.
> Na razie nie wiadomo czy to aby na pewno Newag wrzucił. Sam przecież w
> to nie bardzo wierzysz.
Ale szacuję, że to najbardziej prawdopodobne. W sensie: że nie
kontrolowali kodu i jakaś grupa miała pojęcie.
> Ja bym uwierzył nie tyle w to, że to zrobił, ale
> że to mogłoby mieć sens w produktach powszechnego użytku. Gwarantuje 2
> lata to czemu właściwie miałby działać dłużej.
Różnica tutaj jest taka, że skoro to mogło zatrzymać pociąg, to czy aby
na pewno nie potrafiło go uruchomić, albo wyłączyć hamulce, albo
zablokować panel kontrolny albo...
Skala problemu inna, niż podobna funkcjonalnośc w pralce.
Następne wpisy z tego wątku
- 08.12.23 19:03 Piotr Gałka
- 08.12.23 19:58 heby
- 08.12.23 20:19 io
- 08.12.23 20:21 heby
- 08.12.23 20:36 io
- 08.12.23 21:03 heby
- 08.12.23 21:28 io
- 08.12.23 22:28 vamastah
- 08.12.23 22:31 vamastah
- 08.12.23 22:43 vamastah
- 08.12.23 22:58 vamastah
- 08.12.23 23:17 heby
- 08.12.23 23:20 heby
- 08.12.23 23:23 heby
- 09.12.23 00:31 Mirek
Najnowsze wątki z tej grupy
- Prośba o identyfikację komponentu
- Smart gniazdko straciło na zasięgu wifi?
- Smart gniazdko straciło zasięg wifi?
- nurtuje mnie
- dziwna sprawa...
- Laptop MSI się nie uruchamia.
- Dobra listwa LED (CRI 90-95, bez migotania)
- masowe programowanie AVR
- Fajny pomysł na monitor z klawiaturą
- Sprzedawanie zaszyfrowanych filmów na płytach Blu-Ray bez kluczy deszyfrujących
- Aparat, zewnętrzny mikrofon, brum
- Wieszanie się przy aktywnym SMP
- Prognozowanie zużycia energii przez PGE?
- Odkurzacz mnie bije :(
- Rapsberry Pi i synchronizacja plików
Najnowsze wątki
- 2024-10-19 Warszawa => Software Engineer .Net <=
- 2024-10-19 Warszawa => Senior SAP HANA Developer <=
- 2024-10-19 Warszawa => Specjalista Helpdesk <=
- 2024-10-19 PUE ZUS -- administracyjna nuda...
- 2024-10-18 Marsz niepodleglosci
- 2024-10-18 Pożar parkingu w Luton
- 2024-10-18 Łódź => Spedytor Międzynarodowy <=
- 2024-10-18 Gdańsk => Technical Lead ( (Java Background)) <=
- 2024-10-18 Warszawa => Head of International Freight Forwarding Department <=
- 2024-10-18 uwazajmy na haczyki w umowach
- 2024-10-18 Warszawa => Account Manager - Usługi rekrutacyjne <=
- 2024-10-18 Białystok => Full Stack web developer (obszar .Net Core, Angular6+) <
- 2024-10-18 Gdańsk => Software .Net Developer <=
- 2024-10-18 Warszawa => Junior Rekruter <=
- 2024-10-18 Warszawa => Key Account Manager <=