Marcin Debowski <a...@I...zoho.com> pisze:
> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>> Marcin Debowski <a...@I...zoho.com> pisze:
>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
>>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
>>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
>>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
>>>>>>> ryzykiem.
>>>>>>
>>>>>> Firma może nie wiedzieć.
>>>>>
>>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
>>>>> miałaby nie wiedzieć.
>>>>
>>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
>>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
>>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
>>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
>>>
>>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
>>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
>>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
>>> coś zrobi i nikt się nie zorientuje.
>>
>> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
>> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
>> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
>> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
>>
>> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
>> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".
>
> Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
> pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
> min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
> to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
> musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
> dziurę zaimplementować, więc musi mieć odpowiednie procedury
> prewencyjne/weryfikacyjne.

Ty zaledwie wyrażasz przekonanie że "nie każdy" backdoor się uchowa,
nawet sporawo mocniej ale to i tak za mało IMHO. Jak na paręnaście
"ścieżek eskalacji" jedna/dwie się uchowa to nie wystarczy?

Zresztą można patrzeć na sprawę inaczej: Popatrz ile jest raportowanych
CVE i oszacuj ile więcej/wcześniej/łatwiej powykrywa to ktoś kto ma
dostęp do kodu źródłowego, komentarzy w kodzie i dokumentacji dla
programistów. Wystarczy się "nie za bardzo spieszyć" z łataniem tego co
się wykryje i bardzo ograniczać liczbę osób wiedzących na początkowych
etapach. W tym scenariuszu wystarczy że szefostwo "nie wie" o tym że
ktoś "całkowicie z własnej inicjatywy" przekazuje na zewnątrz albo że
ktoś te "ułatwienia" uzyskał. BTW Coś mi się wydaje że NSA.gov ma
dostawać _oficjalnie_ kod źródłowy wielu rzeczy. [ Swojej głowy nie za
to nie dam ale wydaje mi się to całkiem prawdopodobne].

Przekonanie że z dziur skorzysta tylko dobre NSA.gov ale nie źli
rosjanie/chińczycy jest obstawianiem _bilansu_ czyli tego kto
będzie miał z tego (wyraźnie) więcej. Wiary w to że nie za wiele
"wrogowie" wyzyskają zanim się zauważy że wykorzystują i załata.

Dla mnie jako użytkownika nie ma fundamentalnej różnicy czy z dziury
skorzysta NSA.gov(.us) czy indywidualny haker z Polski/Rosji/Chin.

--
A. Filip
| Wielki jak brzoza, a głupi jak koza. (Przysłowie polskie)