Наблюдая то, как бодро Wikileaks и прочие борцы за справедливость публикуют секретные разработки в области компрометации различных товаров американского производства, создается впечатление, что разработчики этих товаров все-таки сотрудничают со спецслужбами, а весь этот цирк с секретными имплантами\эксплоитами - чтобы мы не прекращали верить в чистоту совести производителей и продолжали в них инвестировать, приобретая их товары.
День комментариев в блоге.
ReplyDeleteСамое простое объяснение, обычно самое верное.
Если применить этот подход, то:
1. Наличие уязвимостей в продуктах - вечная проблема с разработкой и тестированием продуктов.
2. ПО для их эксплуатации - существование рынка покупки\продажи информации о найденных уязвимостях.
зы. За меня голосует шквал критических уязвимостей в OpenSource продуктах в последнее время.
Именно эта логика хорошо обфусцирует любопытные факты о том, как уязвимости в ПО существуют годами (а то и десятилетиями), успешно эксплуатируются их госхакерами и патчатся практически сразу после слива. Я тоже наивный и верю в совпадения и в то, что госхакеры лучше разработчиков разбираются в их ПО.
ReplyDeleteОткровенно вставлять НДВ в ПО как-то нездорово, влияет на бизнес, на доверие клиентов, что уменьшает клиентскую базу, а это - снижает возможности по шпионажу, что недопустимо. А так - вроде бы уязвимость, ничего страшного, ошибочка вышла :) Я не раз уже писал, что не вижу принципиальной разницы между уязвимостью ведущей, например, к RCE и НДВ в классическом понимании. Чужая душа - потемки, тем более, если к вопросу подключаются бизнес-отношения.
Вызываю твое инженерное начало, а не веру в совпадения и умение выстраивать сложные зависимости.
ReplyDeleteГосхакерам проще купить уязвимость, чем найти.
Бизнес, безусловно, может учудить все, что ему выгодно, но в нашей сфере примеров тому маловато, а говорят о таких возможностях слишком много.