On 2024-03-29, A. Filip <a...@p...pl> wrote:
> Marcin Debowski <a...@I...zoho.com> pisze:
>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
>>>>>> ryzykiem.
>>>>>
>>>>> Firma może nie wiedzieć.
>>>>
>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
>>>> miałaby nie wiedzieć.
>>>
>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
>>
>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
>> coś zrobi i nikt się nie zorientuje.
>
> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
>
> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".

Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
dziurę zaimplementować, więc musi mieć odpowiednie procedury
prewencyjne/weryfikacyjne.

--
Marcin