Turvaaugud püsivaras ei ole haruldus

Pole sugugi üllatus, et kõikvõimalike riistvaratootjate oskus oma loomingu kasutajate küberturvalisust jätkusuutlikult tagada on enamasti olematu. Kvaliteedikontrolli püsivara või uuendatava kontrolleri tarkvara puhul suuremat ei tehta, samas taolise kvaliteediga tarkvarakoodi sisaldavaid seadmeid (näiteks ruutereid, voip telefone ja turvakaameraid) on meie tänapäeva maailm täis. Ruhri ülikooli teadurid koos Eurecomi küberturbespesialistidega võtsid ette seadmete veebihalduspaneelid 54-lt riistvaratootjalt ning leidsid, et veerand tootjatest on oma tööd üsna pealiskaudselt teinud. Toodete tasemel on aga lugu parem – 1925-st kontrollitud püsivara failist olid turvalisusega tõeliselt hädas vaid 185. Enamasti olid probleemid XSS-iga, järgmistena failiõigustega ja edasi käskude käivitusõigustega. Veebiserveritena jäid luubi alla minihttpd, lighthttpd, boa ja thttpd. Platvormide poolest võeti luubi alla ARM, MIPS ja MIPSel, et neid oleks võimalik automaatlahenduse abil QEMU keskkonnas lahata.

4 arvamust “Turvaaugud püsivaras ei ole haruldus” kohta

  1. Teemaga haakub minu enda mikro-äri-põrumiste analüüs, kus ma tegin avastuse, et rahaliselt on kiirest kätte-saadava rämps-tarkvara ostmine ja kasutamine isegi lõppkasutaja rollis olevatele äridele kasulikum kui töökorras tarkvara kasutamine. Arutelu baseerub mõttekäigul, et kui kiirelt kätte-saadav rämpstarkvara suudab inimeste kallist tööjõudu arvutile üle anda 30% ulatuses ja selle 30% kokkuhoiu maksumuse määratud integraal üle aja vahemikus [rämpstarkvara-kasutuselevõtu-hetk, korraliku-tarkvara-valmimise-hetk] on suurem kui rämpstarkvara hind, siis kuni korraliku tarkvara valmimiseni on majanduslikult tark kasutada rämpstarkvara, jättes vaatluse alt välja andmete riknemisega seonduvad lisa-kulud, mida mitte-tehnilise taustaga äri-inimesed nii ehk naa ei oska karta. Mis edasi toimuma hakkab, on tõenäoliselt roosa sotsiaalia, kuid roosa sotsiaalia vastu olen ma alati täiesti relvitu olnud.

  2. Ma ei viitsi eraldi artiklit kirjutada, eks loete ise, aga Austraalia profipoliitikutest “geeniused” on hakkama saanud oma ühisfirma sise-reegliga, mille järgi on ülikoolides krüptograafia õpetamine keelatud. Cameron’i krüptokeeld on praeguseks juba saanud ehk Interneti klassikaks ja seda hoolimata London’i pangandussektorist. Kui siia hullumeelsusse lisada asjaolu, et endine maailma tipp-maletaja, Гарри Кимович Каспаров, juhib inimõiguste eest seisvat organisatsiooni USA-st, kus Venemaal maha lastud ajakirjanikele on võimalik kõrvutada suur kogus “Black Lives Matter” märtreid ning Venemaa poliitilistele vangistustele on vastu panna maailma suurim vanglapopulatsioon koos arenenud vanglatööstuse ning Guantanamo-ga, siis igasugune “poolte valimine” näib küll äärmiselt rumal olevat. Huvitav on selle loo juures ka see, et isegi Venemaal leidub de facto anarhiste.

    Ma täpselt ei tea, aga kahtlustan, et Hiina Müüri ehitamise eest süüdistuse saanud Hiina KomPartei ei ole ka krüptograafia õpetamise keelustamisega hakkama saanud. USA kunagine krüptograafia-tarkvara-ekspordi-keeld, mis lõppes sellega, et USA-välised tarkvara-arendajad kasutasid tolle aja kohta tugevat krüptot ja USA enda tarkvara-arendajate võimalused olid ärilises konkurentsis piiratud, näib koos kunagise Clipper-kiibiga samuti Austraalia profipoliitikute pimetsooni jäänud olevat. Mulle näib, et Каспаров ütles väga õieti, et alates Bill Clinton’i troonile tulekust on USA välispoliitika vaid alla käinud. Kui nüüd siia lisada veel asjaolu, et USA-s on siia-maani kasutusel surmanuhtlus, siis tekib juba lausa küsimus, et kumb supermafia mõrvab rohkem, kas Washington või Kreml.

Kommenteerimine on suletud