-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!news.samoylyk.n
et!usenet.blueworldhosting.com!diablo1.usenet.blueworldhosting.com!feed.abavia.
com!abe006.abavia.com!abe001.abavia.com!npeer.as286.net!npeer-ng0.as286.net!pee
r02.ams1!peer.ams1.xlned.com!news.xlned.com!feeder.cambriumusenet.nl!feed.tweak
news.nl!posting.tweaknews.nl!fx09.ams1.POSTED!not-for-mail
Newsgroups: pl.soc.prawo
From: Marcin Debowski <a...@I...zoho.com>
Subject: Re: o Pegasusie raz jeszcze
References: <uu1q9g$hui$1$monika.g@news.chmurka.net>
<ER1NN.18990$au2.13054@fx12.ams1>
<uu29v9$tj4$9$RTomasik@news.chmurka.net> <b42NN.18992$au2.9934@fx12.ams1>
<uu42fp$tj5$5$RTomasik@news.chmurka.net>
<UMqNN.20325$hv2.17178@fx14.ams1> <a...@w...eu>
<j1tNN.26860$kt2.1512@fx13.ams1> <a...@w...eu>
<zWtNN.13716$Lw2.3673@fx11.ams1> <a...@w...eu>
User-Agent: slrn/1.0.3 (Linux)
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Lines: 76
Message-ID: <FEyNN.417594$7uxe.216097@fx09.ams1>
X-Complaints-To: a...@t...nl
NNTP-Posting-Date: Fri, 29 Mar 2024 12:40:05 UTC
Organization: Tweaknews
Date: Fri, 29 Mar 2024 12:40:05 GMT
X-Received-Bytes: 5226
Xref: news-archive.icm.edu.pl pl.soc.prawo:849075
[ ukryj nagłówki ]On 2024-03-29, A. Filip <a...@p...pl> wrote:
> Marcin Debowski <a...@I...zoho.com> pisze:
>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
>>>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
>>>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
>>>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
>>>>>>>> ryzykiem.
>>>>>>>
>>>>>>> Firma może nie wiedzieć.
>>>>>>
>>>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
>>>>>> miałaby nie wiedzieć.
>>>>>
>>>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
>>>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
>>>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
>>>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
>>>>
>>>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
>>>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
>>>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
>>>> coś zrobi i nikt się nie zorientuje.
>>>
>>> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
>>> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
>>> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
>>> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
>>>
>>> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
>>> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".
>>
>> Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
>> pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
>> min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
>> to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
>> musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
>> dziurę zaimplementować, więc musi mieć odpowiednie procedury
>> prewencyjne/weryfikacyjne.
>
> Ty zaledwie wyrażasz przekonanie że "nie każdy" backdoor się uchowa,
> nawet sporawo mocniej ale to i tak za mało IMHO. Jak na paręnaście
> "ścieżek eskalacji" jedna/dwie się uchowa to nie wystarczy?
Nie, ja wiem jak bardzo sformalizowane i proceduralne są wszystkie
czynności związane z opracowaniem produktu w wielkim korpo. Próbujesz
dopasować pewien model rzeczywistości do takiej organizacji, a on do
niej nie za bardzo pasuje. Wszelkie próby kombinowania kończą się zwykle
źle, bez względu na to kto kombinuje.
> Zresztą można patrzeć na sprawę inaczej: Popatrz ile jest raportowanych
> CVE i oszacuj ile więcej/wcześniej/łatwiej powykrywa to ktoś kto ma
> dostęp do kodu źródłowego, komentarzy w kodzie i dokumentacji dla
> programistów. Wystarczy się "nie za bardzo spieszyć" z łataniem tego co
> się wykryje i bardzo ograniczać liczbę osób wiedzących na początkowych
> etapach. W tym scenariuszu wystarczy że szefostwo "nie wie" o tym że
> ktoś "całkowicie z własnej inicjatywy" przekazuje na zewnątrz albo że
> ktoś te "ułatwienia" uzyskał. BTW Coś mi się wydaje że NSA.gov ma
> dostawać _oficjalnie_ kod źródłowy wielu rzeczy. [ Swojej głowy nie za
> to nie dam ale wydaje mi się to całkiem prawdopodobne].
>
> Przekonanie że z dziur skorzysta tylko dobre NSA.gov ale nie źli
> rosjanie/chińczycy jest obstawianiem _bilansu_ czyli tego kto
> będzie miał z tego (wyraźnie) więcej. Wiary w to że nie za wiele
> "wrogowie" wyzyskają zanim się zauważy że wykorzystują i załata.
>
> Dla mnie jako użytkownika nie ma fundamentalnej różnicy czy z dziury
> skorzysta NSA.gov(.us) czy indywidualny haker z Polski/Rosji/Chin.
NSA to tylko przykład wynikający z tego, że wymieniny był Apple.
--
Marcin
Następne wpisy z tego wątku
- 29.03.24 13:54 A. Filip
- 29.03.24 15:02 Shrek
- 29.03.24 15:16 A. Filip
- 29.03.24 15:28 Marcin Debowski
- 29.03.24 16:35 _Master_
- 29.03.24 18:06 Shrek
- 30.03.24 00:23 Marcin Debowski
- 30.03.24 07:02 Shrek
- 30.03.24 07:21 Marcin Debowski
- 30.03.24 09:15 Shrek
Najnowsze wątki z tej grupy
- Izrael kontra Hamas
- Korekta faktury Bolt
- Re: Sędzia v. Sędzią prezes SN już zawiadomieniem w prokuraturze
- Czy Sejm RP zahamuje proceder zabijania dla organów?
- Policjant użył broni, na skutek czego jego kolega został ranny.
- znów wrocław
- Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Ideologia Geniuszy-Mocarzy wer. 9927
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- Ania zaginela
Najnowsze wątki
- 2024-11-26 Izrael kontra Hamas
- 2024-11-26 Korekta faktury Bolt
- 2024-11-25 Re: Sędzia v. Sędzią prezes SN już zawiadomieniem w prokuraturze
- 2024-11-24 Czy Sejm RP zahamuje proceder zabijania dla organów?
- 2024-11-23 Policjant użył broni, na skutek czego jego kolega został ranny.
- 2024-11-23 znów wrocław
- 2024-11-23 Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- 2024-11-21 Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-22 Ideologia Geniuszy-Mocarzy wer. 9927
- 2024-11-22 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- 2024-11-21 Ania zaginela