-
Data: 2023-12-08 23:17:12
Temat: Re: Hakowanie infrastruktury za pomocą wyrafinowanych narzędzi
Od: heby <h...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 08/12/2023 22:43, vamastah wrote:
> no bez jaj, nie widze nic zlego w braku chain-of-trust
Możliwość modyfikacji softu przez kogoś złego.
Z zalet: brak chain-of-trust może być znakomitym dupochronem, bo można
zawsze powiedzieć, że te dodatki do softu, to się same zrobiły "gdzieś
po drodze".
Problemem jest zmuszenie prawne do implementacji tego. Prawo tworzą
przygłupy prawnicze i oni nie ogarną, nawet jak by im ktoś miesiąc
tłumaczył, że infrastruktura krytyczna powinna mieć jakiś poziom
zabezpieczeń inny, niż kłódkę i 5 lat w zawieszeniu.
> dodatkowa funkcjonalnosc za ktora de facto nikt nie chce placic, poza
> tym zadne mechanizmy weryfikacji autorstwa kodu nic tu nie
> rozwiazuja - firma nadal moglaby sie tlumaczyc ze wyciekl jej klucz
> prywatny (niczym to sie rozni od gadania ze wyciekl kod zrodlowy)
Jest różnica: jak wycieknie kod źródłowy, to co najwyżej musisz martwić
się o exploity (w systemie offline to nie jest aż tak ważne) ewentualnie
spalasz się ze wstydu jak inni zobaczą co odp... Kaziuk z Januszem w tym C.
Wyciek klucza prywatnego jest niebezpieczny, bo po cichu można dokonać
modyfikacji i doprowadzić do sabotażu.
> postawmy sprawe jasno - pociagi sa Newaga, wgrany soft tez (co da sie
> udowodnic z wystarczajaca pewnoscia:
> https://gynvael.coldwind.pl/?lang=pl&id=777 ), wiec to oni ponosza
> odpowiedzialnosc za "babole" w kodzie (ktore de facto sa na ich korzysc)
Problem już nie dotyczy tego przypadku. Ten przypadek to jest żałosne
kombinowanie będące skokiem na kasę.
Ja się obawiam, że nastepny firmware do tych pociągów może napisać Dima
z Saszą, zamiast Kaziuk z Januszem. I nikt się nie dowie.
Po to powinny być podpisy.
Następne wpisy z tego wątku
- 08.12.23 23:20 heby
- 08.12.23 23:23 heby
- 09.12.23 00:31 Mirek
- 09.12.23 11:25 heby
- 09.12.23 13:27 Mirek
- 09.12.23 14:05 Piotr Gałka
- 09.12.23 14:13 Piotr Gałka
- 09.12.23 14:49 heby
- 09.12.23 15:06 heby
- 09.12.23 15:06 heby
- 09.12.23 16:01 vamastah
- 09.12.23 16:03 vamastah
- 09.12.23 16:11 vamastah
- 09.12.23 16:19 heby
- 09.12.23 16:41 Mirek
Najnowsze wątki z tej grupy
- Dziwne zachowanie magistrali adresowej w 8085
- Współczesne mierniki zniekształceń nieliniowych THD audio, produkują jakieś?
- Jaki silikon lub może klej?
- Smar do video
- Litowe baterie AA Li/FeS2 a alkaliczne
- "ogrodowa linia napowietrzna"
- jaki zasilacz laboratoryjny
- jaki zasilacz laboratoryjny
- Puszka w ziemię
- T-1000 was here
- Ściąganie hasła frezem
- Koszyk okrągły, walec 3x AA, na duże paluszki R6
- Brak bolca ochronnego ładowarki oznacza pożar
- AMS spalony szybkim zasilaczem USB
- stalowe bezpieczniki
Najnowsze wątki
- 2025-02-12 Warszawa => Expert Recruiter 360 <=
- 2025-02-12 Ostrów Wielkopolski => Area Sales Manager OZE <=
- 2025-02-12 Bieruń => Regionalny Kierownik Sprzedaży (OZE) <=
- 2025-02-12 Dęblin => Node.js / Fullstack Developer <=
- 2025-02-12 Kraków => PHP Full Stack Developer <=
- 2025-02-12 Karta dźwiękowa stereo
- 2025-02-12 Dęblin => JavaScript / Node / Fullstack Developer <=
- 2025-02-12 Gdańsk => Specjalista ds. Sprzedaży <=
- 2025-02-12 Łódź => NodeJS Developer <=
- 2025-02-12 Błonie => Sales Specialist <=
- 2025-02-12 Dziwne zachowanie magistrali adresowej w 8085
- 2025-02-11 Mini pecet
- 2025-02-10 Spalił się spaliniak
- 2025-02-10 zarowka wifi - z sensowna apka lub lepiej albo lokalnie lub przez web. I zeby harmonogram miala
- 2025-02-10 Chrzanów => Programista NodeJS <=