-
Data: 2023-12-08 23:17:12
Temat: Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi
Od: heby <h...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 08/12/2023 22:43, vamastah wrote:
> no bez jaj, nie widze nic zlego w braku chain-of-trust
Możliwość modyfikacji softu przez kogoś złego.
Z zalet: brak chain-of-trust może być znakomitym dupochronem, bo można
zawsze powiedzieć, że te dodatki do softu, to się same zrobiły "gdzieś
po drodze".
Problemem jest zmuszenie prawne do implementacji tego. Prawo tworzą
przygłupy prawnicze i oni nie ogarną, nawet jak by im ktoś miesiąc
tłumaczył, że infrastruktura krytyczna powinna mieć jakiś poziom
zabezpieczeń inny, niż kłódkę i 5 lat w zawieszeniu.
> dodatkowa funkcjonalnosc za ktora de facto nikt nie chce placic, poza
> tym zadne mechanizmy weryfikacji autorstwa kodu nic tu nie
> rozwiazuja - firma nadal moglaby sie tlumaczyc ze wyciekl jej klucz
> prywatny (niczym to sie rozni od gadania ze wyciekl kod zrodlowy)
Jest różnica: jak wycieknie kod źródłowy, to co najwyżej musisz martwić
się o exploity (w systemie offline to nie jest aż tak ważne) ewentualnie
spalasz się ze wstydu jak inni zobaczą co odp... Kaziuk z Januszem w tym C.
Wyciek klucza prywatnego jest niebezpieczny, bo po cichu można dokonać
modyfikacji i doprowadzić do sabotażu.
> postawmy sprawe jasno - pociagi sa Newaga, wgrany soft tez (co da sie
> udowodnic z wystarczajaca pewnoscia:
> https://gynvael.coldwind.pl/?lang=pl&id=777 ), wiec to oni ponosza
> odpowiedzialnosc za "babole" w kodzie (ktore de facto sa na ich korzysc)
Problem już nie dotyczy tego przypadku. Ten przypadek to jest żałosne
kombinowanie będące skokiem na kasę.
Ja się obawiam, że nastepny firmware do tych pociągów może napisać Dima
z Saszą, zamiast Kaziuk z Januszem. I nikt się nie dowie.
Po to powinny być podpisy.
Następne wpisy z tego wątku
- 08.12.23 23:20 heby
- 08.12.23 23:23 heby
- 09.12.23 00:31 Mirek
- 09.12.23 11:25 heby
- 09.12.23 13:27 Mirek
- 09.12.23 14:05 Piotr Gałka
- 09.12.23 14:13 Piotr Gałka
- 09.12.23 14:49 heby
- 09.12.23 15:06 heby
- 09.12.23 15:06 heby
- 09.12.23 16:01 vamastah
- 09.12.23 16:03 vamastah
- 09.12.23 16:11 vamastah
- 09.12.23 16:19 heby
- 09.12.23 16:41 Mirek
Najnowsze wątki z tej grupy
- Gniazdo + wtyk
- Aliexpress zaczął oszukiwać na bezczelnego.
- OpenPnP
- taka skrzynka do kablowki
- e-paper
- 60 mA dużo czy spoko?
- Dziwne zachowanie magistrali adresowej w 8085
- Współczesne mierniki zniekształceń nieliniowych THD audio, produkują jakieś?
- Jaki silikon lub może klej?
- Smar do video
- Litowe baterie AA Li/FeS2 a alkaliczne
- "ogrodowa linia napowietrzna"
- jaki zasilacz laboratoryjny
- jaki zasilacz laboratoryjny
- Puszka w ziemię
Najnowsze wątki
- 2025-02-25 Tak wiem.... To oczywiste ale jak oni dzisiaj dziadują na materiale
- 2025-02-25 rozliczenia policji
- 2025-02-25 Echhhhhh. Marzy mi się SWAP Audi A2 z 1.8 T ;-)
- 2025-02-25 Warszawa => Analityk Biznesowo-Systemowy <=
- 2025-02-25 Warszawa => SQL Developer <=
- 2025-02-25 Zbigniew Ziobro śmie sugerować "niedostatki niezawisłości" sędzi (wątpliwości co do bezstronności)
- 2025-02-25 Kraków => DevOps Engineer (Junior/Regular) <=
- 2025-02-25 Kraków => Front-end Developer <=
- 2025-02-25 Szpital
- 2025-02-24 Gniazdo + wtyk
- 2025-02-24 Dyrektor Toyoty miał rację. Elektryki to ślepa uliczka
- 2025-02-24 Białystok => System Architect (Java background) <=
- 2025-02-24 Białystok => System Architect (background deweloperski w Java) <=
- 2025-02-24 Białystok => Solution Architect (Java background) <=
- 2025-02-24 Warszawa => Data Engineer (Tech Leader) <=