-
Data: 2024-03-29 13:54:13
Temat: Re: o Pegasusie raz jeszcze
Od: "A. Filip" <a...@p...pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]Marcin Debowski <a...@I...zoho.com> pisze:
> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>> Marcin Debowski <a...@I...zoho.com> pisze:
>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>>> On 2024-03-29, A. Filip <a...@p...pl> wrote:
>>>>>> Marcin Debowski <a...@I...zoho.com> pisze:
>>>>>>> On 2024-03-28, Robert Tomasik <r...@g...pl> wrote:
>>>>>>>> W dniu 28.03.2024 o 00:36, Marcin Debowski pisze:
>>>>>>>>> Backdoors? Zastanawiałem się nad tym. Zasadniczo nie wykluczam. Z
>>>>>>>>> drugiej strony, dla firmy oferującej system wydaje się to być sporym
>>>>>>>>> ryzykiem.
>>>>>>>>
>>>>>>>> Firma może nie wiedzieć.
>>>>>>>
>>>>>>> No to nie jest to oficjalny backdoor. Ale też nie wiem po prawdzie jak
>>>>>>> miałaby nie wiedzieć.
>>>>>>
>>>>>> Nie zostawiać śladów w dokumentach a prawnicy co najmniej przeciągną
>>>>>> sprawę latami rzucając pionki (góra paru oficerów niskiego szczebla)
>>>>>> prawu na pożarcie. Szanse skazania wierchuszki która wie jak obijać
>>>>>> sobie dupę blachą i gmatwać tropy są "nieduże" IMHO,
>>>>>
>>>>> Wiem jak z grubsza działają wielkie korpo na poziomie opracowywanych
>>>>> technologii. Pod tym względem nie widzę za specjalnie możliwości. To nie
>>>>> jest do końca jakby tak, że jakieś NSA przekupi jednego pracownika i on
>>>>> coś zrobi i nikt się nie zorientuje.
>>>>
>>>> Wersja oficjalna będzie że jedna sprytna+ ("nieustalona") czarna owca
>>>> wrzuciła "detaliczek" a reszcie udowodnij że się zorientowali. No chyba
>>>> że polecimy po odpowiedzialności nie karnej poszczególnych osób ale
>>>> cywilnej firmy jako całości, odpowiedzialności kosztownej+ na miarę USA.
>>>>
>>>> Zresztą AFAIR parę przypadków "nie usunięcia kodu co miał być tylko do
>>>> odpluskwiania w produkcji" było, oczywiście wyłącznie przez "przeoczenie".
>>>
>>> Tam masz pewnie całą machinę złożoną z kilkuset osób, z których część
>>> pisze, część szuka podatności. Nadal nie widzę tego. Kilka oddziałów z
>>> min. kilkudziesięsioma osobami musiałoby być w to zamiesza. A tyle osób
>>> to dużo, więc i jakaś rotacja i ryzyko olbrzymie. Więcej, taka firma
>>> musi się liczyć, że sam z siebie jakiś pracownik mógłby chcieć podobną
>>> dziurę zaimplementować, więc musi mieć odpowiednie procedury
>>> prewencyjne/weryfikacyjne.
>>
>> Ty zaledwie wyrażasz przekonanie że "nie każdy" backdoor się uchowa,
>> nawet sporawo mocniej ale to i tak za mało IMHO. Jak na paręnaście
>> "ścieżek eskalacji" jedna/dwie się uchowa to nie wystarczy?
>
> Nie, ja wiem jak bardzo sformalizowane i proceduralne są wszystkie
> czynności związane z opracowaniem produktu w wielkim korpo. Próbujesz
> dopasować pewien model rzeczywistości do takiej organizacji, a on do
> niej nie za bardzo pasuje. Wszelkie próby kombinowania kończą się zwykle
> źle, bez względu na to kto kombinuje.
Ty patrzysz z perspektywy "jak być powinno" IMHO. Ja patrze z perspektywy
tego ile "dziur" w oprogramowaniu jest raportowanych publicznie.
Jak jasno widać to z której strony się patrzy znacznie wpływa na perspektywę.
>> Zresztą można patrzeć na sprawę inaczej: Popatrz ile jest raportowanych
>> CVE i oszacuj ile więcej/wcześniej/łatwiej powykrywa to ktoś kto ma
>> dostęp do kodu źródłowego, komentarzy w kodzie i dokumentacji dla
>> programistów. Wystarczy się "nie za bardzo spieszyć" z łataniem tego co
>> się wykryje i bardzo ograniczać liczbę osób wiedzących na początkowych
>> etapach. W tym scenariuszu wystarczy że szefostwo "nie wie" o tym że
>> ktoś "całkowicie z własnej inicjatywy" przekazuje na zewnątrz albo że
>> ktoś te "ułatwienia" uzyskał. BTW Coś mi się wydaje że NSA.gov ma
>> dostawać _oficjalnie_ kod źródłowy wielu rzeczy. [ Swojej głowy nie za
>> to nie dam ale wydaje mi się to całkiem prawdopodobne].
>>
>> Przekonanie że z dziur skorzysta tylko dobre NSA.gov ale nie źli
>> rosjanie/chińczycy jest obstawianiem _bilansu_ czyli tego kto
>> będzie miał z tego (wyraźnie) więcej. Wiary w to że nie za wiele
>> "wrogowie" wyzyskają zanim się zauważy że wykorzystują i załata.
>>
>> Dla mnie jako użytkownika nie ma fundamentalnej różnicy czy z dziury
>> skorzysta NSA.gov(.us) czy indywidualny haker z Polski/Rosji/Chin.
>
> NSA to tylko przykład wynikający z tego, że wymieniny był Apple.
NSA.gov(.us) to przykład tego kto z dziur bardzo prawdopodobnie [*1]
korzysta a się nie przyznaje bo go przyłapać tak że się nie wykręci
"nie łatwo".
Prawo USA *ciebie* nie chroni przed Wielkim Bratem NSA.gov(.us).
Mylę się? [Nie zapominaj o Merkel]
[*1] to "bardzo prawdopodobnie" to w wersji na grupę prawo
Na inne grupy by było coś ala jakie to byłyby ostatnie fujary gdyby
przenigdy przenigdzie nie wykorzystali (w ramach USA fedów).
--
A. Filip
| Nowy dzień - nowa rzecz, nowy dzień - nowy człowiek.
| (Przysłowie ormiańskie)
Następne wpisy z tego wątku
- 29.03.24 15:02 Shrek
- 29.03.24 15:16 A. Filip
- 29.03.24 15:28 Marcin Debowski
- 29.03.24 16:35 _Master_
- 29.03.24 18:06 Shrek
- 30.03.24 00:23 Marcin Debowski
- 30.03.24 07:02 Shrek
- 30.03.24 07:21 Marcin Debowski
- 30.03.24 09:15 Shrek
Najnowsze wątki z tej grupy
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- Ania zaginela
- Sprawdź PESEL w mObywatel
- Wzorcowa interwencja
- Akta sprawy Kajetan Poznański
- Dobra zmiana
- Czy prezydent może ułaskawić od zadośćuczynienia? [A. Lepper odszkodowania]
- ekstradycja
- Marsz niepodległości
- TVN donosi: Obywatelskie zatrzymanie policjanta (nie na służbie)
- znaj podstawe
- Art. 118. [Terminy przedawnienia]
Najnowsze wątki
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Dla mr. J.F`a, Trybuna i Wiesiaczka którzy "troszczą" się o państwowe i u których 0 pragmatyzmu
- 2024-11-21 Re: Antysemici z MTK w Hadze wydali nakazy aresztowania [Izrael odrzuca "fałszywe i absurdalne zarzuty"]
- 2024-11-21 Ania zaginela
- 2024-11-21 Sprawdź PESEL w mObywatel
- 2024-11-18 Wzorcowa interwencja
- 2024-11-16 Akta sprawy Kajetan Poznański
- 2024-11-14 Dobra zmiana
- 2024-11-14 Czy prezydent może ułaskawić od zadośćuczynienia? [A. Lepper odszkodowania]
- 2024-11-12 ekstradycja
- 2024-11-11 Marsz niepodległości
- 2024-11-10 TVN donosi: Obywatelskie zatrzymanie policjanta (nie na służbie)
- 2024-11-08 znaj podstawe
- 2024-11-06 Art. 118. [Terminy przedawnienia]