eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoo Pegasusie raz jeszczeRe: o Pegasusie raz jeszcze
  • Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!news.samoylyk.n
    et!usenet.blueworldhosting.com!diablo1.usenet.blueworldhosting.com!feed.abavia.
    com!abe006.abavia.com!abe001.abavia.com!npeer.as286.net!npeer-ng0.as286.net!pee
    r02.ams1!peer.ams1.xlned.com!news.xlned.com!feeder.cambriumusenet.nl!feed.tweak
    news.nl!posting.tweaknews.nl!fx09.ams1.POSTED!not-for-mail
    Newsgroups: pl.soc.prawo
    From: Marcin Debowski <a...@I...zoho.com>
    Subject: Re: o Pegasusie raz jeszcze
    References: <uu1q9g$hui$1$monika.g@news.chmurka.net>
    <ER1NN.18990$au2.13054@fx12.ams1>
    <uu29v9$tj4$9$RTomasik@news.chmurka.net> <b42NN.18992$au2.9934@fx12.ams1>
    <uu42fp$tj5$5$RTomasik@news.chmurka.net>
    <UMqNN.20325$hv2.17178@fx14.ams1> <a...@w...eu>
    <j1tNN.26860$kt2.1512@fx13.ams1> <a...@w...eu>
    <zWtNN.13716$Lw2.3673@fx11.ams1> <a...@w...eu>
    User-Agent: slrn/1.0.3 (Linux)
    Mime-Version: 1.0
    Content-Type: text/plain; charset=UTF-8
    Content-Transfer-Encoding: 8bit
    Lines: 76
    Message-ID: <FEyNN.417594$7uxe.216097@fx09.ams1>
    X-Complaints-To: a...@t...nl
    NNTP-Posting-Date: Fri, 29 Mar 2024 12:40:05 UTC
    Organization: Tweaknews
    Date: Fri, 29 Mar 2024 12:40:05 GMT
    X-Received-Bytes: 5226
    Xref: news-archive.icm.edu.pl pl.soc.prawo:849075
    [ ukryj nagłówki ]

    On 2024-03-29, A. Filip <a...@p...pl> wrote:
    > Marcin Debowski <a...@I...zoho.com> pisze:
    >> On 2024-03-29, A. Filip <a...@p...pl> wrote:
    >>> Marcin Debowski <a...@I...zoho.com> pisze:
    >>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
    >>>>> Marcin Debowski <a...@I...zoho.com> pisze:
    >>>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
    >>>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
    >>>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
    >>>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
    >>>>>>>> ryzykiem.
    >>>>>>>
    >>>>>>> Firma może nie wiedzieć.
    >>>>>>
    >>>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
    >>>>>> miałaby nie wiedzieć.
    >>>>>
    >>>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
    >>>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
    >>>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
    >>>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
    >>>>
    >>>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
    >>>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
    >>>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
    >>>> coś zrobi i nikt się nie zorientuje.
    >>>
    >>> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
    >>> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
    >>> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
    >>> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
    >>>
    >>> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
    >>> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".
    >>
    >> Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
    >> pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
    >> min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
    >> to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
    >> musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
    >> dziurę zaimplementować, więc musi mieć odpowiednie procedury
    >> prewencyjne/weryfikacyjne.
    >
    > Ty zaledwie wyrażasz przekonanie że "nie każdy" backdoor się uchowa,
    > nawet sporawo mocniej ale to i tak za mało IMHO. Jak na paręnaście
    > "ścieżek eskalacji" jedna/dwie się uchowa to nie wystarczy?

    Nie, ja wiem jak bardzo sformalizowane i proceduralne są wszystkie
    czynności związane z opracowaniem produktu w wielkim korpo. Próbujesz
    dopasować pewien model rzeczywistości do takiej organizacji, a on do
    niej nie za bardzo pasuje. Wszelkie próby kombinowania kończą się zwykle
    źle, bez względu na to kto kombinuje.

    > Zresztą można patrzeć na sprawę inaczej: Popatrz ile jest raportowanych
    > CVE i oszacuj ile więcej/wcześniej/łatwiej powykrywa to ktoś kto ma
    > dostęp do kodu źródłowego, komentarzy w kodzie i dokumentacji dla
    > programistów. Wystarczy się "nie za bardzo spieszyć" z łataniem tego co
    > się wykryje i bardzo ograniczać liczbę osób wiedzących na początkowych
    > etapach. W tym scenariuszu wystarczy że szefostwo "nie wie" o tym że
    > ktoś "całkowicie z własnej inicjatywy" przekazuje na zewnątrz albo że
    > ktoś te "ułatwienia" uzyskał. BTW Coś mi się wydaje że NSA.gov ma
    > dostawać _oficjalnie_ kod źródłowy wielu rzeczy. [ Swojej głowy nie za
    > to nie dam ale wydaje mi się to całkiem prawdopodobne].
    >
    > Przekonanie że z dziur skorzysta tylko dobre NSA.gov ale nie źli
    > rosjanie/chińczycy jest obstawianiem _bilansu_ czyli tego kto
    > będzie miał z tego (wyraźnie) więcej. Wiary w to że nie za wiele
    > "wrogowie" wyzyskają zanim się zauważy że wykorzystują i załata.
    >
    > Dla mnie jako użytkownika nie ma fundamentalnej różnicy czy z dziury
    > skorzysta NSA.gov(.us) czy indywidualny haker z Polski/Rosji/Chin.

    NSA to tylko przykład wynikający z tego, że wymieniny był Apple.

    --
    Marcin

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1