eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoGrupypl.soc.prawoo Pegasusie raz jeszczeRe: o Pegasusie raz jeszcze
  • Data: 2024-03-29 13:54:13
    Temat: Re: o Pegasusie raz jeszcze
    Od: "A. Filip" <a...@p...pl> szukaj wiadomości tego autora
    [ pokaż wszystkie nagłówki ]

    Marcin Debowski <a...@I...zoho.com> pisze:
    > On 2024-03-29, A. Filip <a...@p...pl> wrote:
    >> Marcin Debowski <a...@I...zoho.com> pisze:
    >>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
    >>>> Marcin Debowski <a...@I...zoho.com> pisze:
    >>>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
    >>>>>> Marcin Debowski <a...@I...zoho.com> pisze:
    >>>>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
    >>>>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
    >>>>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
    >>>>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
    >>>>>>>>> ryzykiem.
    >>>>>>>>
    >>>>>>>> Firma może nie wiedzieć.
    >>>>>>>
    >>>>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
    >>>>>>> miałaby nie wiedzieć.
    >>>>>>
    >>>>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
    >>>>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
    >>>>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
    >>>>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
    >>>>>
    >>>>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
    >>>>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
    >>>>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
    >>>>> coś zrobi i nikt się nie zorientuje.
    >>>>
    >>>> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
    >>>> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
    >>>> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
    >>>> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
    >>>>
    >>>> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
    >>>> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".
    >>>
    >>> Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
    >>> pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
    >>> min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
    >>> to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
    >>> musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
    >>> dziurę zaimplementować, więc musi mieć odpowiednie procedury
    >>> prewencyjne/weryfikacyjne.
    >>
    >> Ty zaledwie wyrażasz przekonanie że "nie każdy" backdoor się uchowa,
    >> nawet sporawo mocniej ale to i tak za mało IMHO. Jak na paręnaście
    >> "ścieżek eskalacji" jedna/dwie się uchowa to nie wystarczy?
    >
    > Nie, ja wiem jak bardzo sformalizowane i proceduralne są wszystkie
    > czynności związane z opracowaniem produktu w wielkim korpo. Próbujesz
    > dopasować pewien model rzeczywistości do takiej organizacji, a on do
    > niej nie za bardzo pasuje. Wszelkie próby kombinowania kończą się zwykle
    > źle, bez względu na to kto kombinuje.

    Ty patrzysz z perspektywy "jak być powinno" IMHO. Ja patrze z perspektywy
    tego ile "dziur" w oprogramowaniu jest raportowanych publicznie.
    Jak jasno widać to z której strony się patrzy znacznie wpływa na perspektywę.

    >> Zresztą można patrzeć na sprawę inaczej: Popatrz ile jest raportowanych
    >> CVE i oszacuj ile więcej/wcześniej/łatwiej powykrywa to ktoś kto ma
    >> dostęp do kodu źródłowego, komentarzy w kodzie i dokumentacji dla
    >> programistów. Wystarczy się "nie za bardzo spieszyć" z łataniem tego co
    >> się wykryje i bardzo ograniczać liczbę osób wiedzących na początkowych
    >> etapach. W tym scenariuszu wystarczy że szefostwo "nie wie" o tym że
    >> ktoś "całkowicie z własnej inicjatywy" przekazuje na zewnątrz albo że
    >> ktoś te "ułatwienia" uzyskał. BTW Coś mi się wydaje że NSA.gov ma
    >> dostawać _oficjalnie_ kod źródłowy wielu rzeczy. [ Swojej głowy nie za
    >> to nie dam ale wydaje mi się to całkiem prawdopodobne].
    >>
    >> Przekonanie że z dziur skorzysta tylko dobre NSA.gov ale nie źli
    >> rosjanie/chińczycy jest obstawianiem _bilansu_ czyli tego kto
    >> będzie miał z tego (wyraźnie) więcej. Wiary w to że nie za wiele
    >> "wrogowie" wyzyskają zanim się zauważy że wykorzystują i załata.
    >>
    >> Dla mnie jako użytkownika nie ma fundamentalnej różnicy czy z dziury
    >> skorzysta NSA.gov(.us) czy indywidualny haker z Polski/Rosji/Chin.
    >
    > NSA to tylko przykład wynikający z tego, że wymieniny był Apple.

    NSA.gov(.us) to przykład tego kto z dziur bardzo prawdopodobnie [*1]
    korzysta a się nie przyznaje bo go przyłapać tak że się nie wykręci
    "nie łatwo".

    Prawo USA *ciebie* nie chroni przed Wielkim Bratem NSA.gov(.us).
    Mylę się? [Nie zapominaj o Merkel]

    [*1] to "bardzo prawdopodobnie" to w wersji na grupę prawo
    Na inne grupy by było coś ala jakie to byłyby ostatnie fujary gdyby
    przenigdy przenigdzie nie wykorzystali (w ramach USA fedów).

    --
    A. Filip
    | Nowy dzień - nowa rzecz, nowy dzień - nowy człowiek.
    | (Przysłowie ormiańskie)

Podziel się

Poleć ten post znajomemu poleć

Wydrukuj ten post drukuj


Następne wpisy z tego wątku

Najnowsze wątki z tej grupy


Najnowsze wątki

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1