Każdy samochód będzie miał awaryjny wyłącznik!

Żródło: https://www.congress.gov/bill/117th-congress/house-bill/3684/text

  •  

    pokaż komentarz

    System się domyka, ale ma jedną poważną lukę. Taka ilość oprogramowania, która będzie służyła do kontrolowania naszego życia napewno będzie miała poważne błędy w zabezpieczeniach, które umożliwią obchodzenie tej kontroli na dużą skalę.

    Pracowałem w kilkunastu firmach i tylko w jednaj z nich tworzone oprogramowanie było audytowane przez specjalistę ds. bezpieczeństwa. W większości przypadków wyglądało to tak, że jedynymi zabezpieczeniami były certyfikaty SSL i konta użytkowników. Nikt nie myślał o bezpieczeństwie na etapie pisania kodu czy wdrożenia. Zdecydowana większość programistów z którymi pracowałem nie potrafi pisać dobrego kodu.

    Nawet sobie nie zdajecie sprawy, jak łatwo można włamać się do systemów których używacie na codzień i narazić firmę na poważne straty wykradając albo uszkadzając bazy danych.

    •  

      pokaż komentarz

      Nawet sobie nie zdajecie sprawy, jak łatwo można włamać się do systemów których używacie na codzień i narazić firmę na poważne straty wykradając albo uszkadzając bazy danych.
      @p_i_m_p_e_k: Dlatego coraz częściej używa się usług chmurowych komponując rozwiązanie z gotowców, które oferują poziom bezpieczeństwa niedostępny dla małych firm.

      Jak mi ktoś mówi, że będzie trzymał serwery u siebie bo tylko tak jego dane są bezpieczne to mnie śmiech ogarnia.

    •  

      pokaż komentarz

      @IvanBarazniew: Dobrze zabezpieczona infrastruktura nie pomoże jak sama aplikacja jest źle napisana i podatna na ataki.

    •  

      pokaż komentarz

      Dobrze zabezpieczona infrastruktura nie pomoże jak sama aplikacja jest źle napisana i podatna na ataki.
      @p_i_m_p_e_k: Mamy 21 wiek, fakt jak się ktoś postara to wszystko sp!!!#$$i ale podstawowe rzeczy typu sqli, xss, rce itp można dość łatwo zweryfikować - są do tego gotowe narzędzia. Fakt przed błędami logicznymi nie ochronią ale nadal jest dużo łatwiej zbudować bezpieczne rozwiązanie niż powiedzmy 10 lat temu. Natomiast o fakapy typu zero day sprzed kilku lat na chmurowej infrastrukturze nieco trudniej - oczywiście jak się używa chmury jako chmury a nie jako virtualek do odpalenia własnego softu jak w on-premie.

      Poza tym z infrastrukturą chmurową przychodzi „darmowa” wiedza i narzędzia do wdrożenia i kontroli praktyk bezpieczeństwa.

    •  

      pokaż komentarz

      @p_i_m_p_e_k: Nawet najlepsze zabezpieczenie jest tak mocne, jak jego najsłabszy punkt ¯\_(ツ)_/¯

    •  

      pokaż komentarz

      @IvanBarazniew:

      używa się usług chmurowych

      Ten sposób myślenia to idealna pułapka, w którą wpadają coraz częściej wszelacy "chmurowcy". Bo to, że użyjesz nawet najbezpieczniejszego rozwiązania na świecie, nie gwarantuje w żaden sposób bezpieczeństwa na poziomie implementacji.
      Po drugie - jeśli jednak coś się sypnie, to sypnie się w pierdyliardzie systemów, bo wszystko jest tylko kopią z jednak tymi samymi podatnościami.

      Po trzecie - w każdej dziedzinie unifikacja jest dobra jedynie w aspekcie zarządczym. W aspekcie rozwojowym jest zwyczajnie hamulcem.

    •  

      pokaż komentarz

      Ten sposób myślenia to idealna pułapka, w którą wpadają coraz częściej wszelacy "chmurowcy". Bo to, że użyjesz nawet najbezpieczniejszego rozwiązania na świecie, nie gwarantuje w żaden sposób bezpieczeństwa na poziomie implementacji.
      Zgadza się, ale gwarantuje bezpieczeństwo przynajmniej na poziomie infrastruktury. Co jest bardzo kosztowne samo w sobie. Żeby ci dać przykład jak myślisz ile trzeba wydać aby swoje rozwiązanie hostować z georedundancją, redundantnym łączem, zasilaniem i chłodzeniem oraz własnym NOC?
      Ile trzeba wydać aby utrzymać bazowy obraz systemu operacyjnego up-to-date z wszystkimi poprawkami?

      Po drugie - jeśli jednak coś się sypnie, to sypnie się w pierdyliardzie systemów, bo wszystko jest tylko kopią z jednak tymi samymi podatnościami.
      Jak się sypnie w tysiącach systemów to zostanie poprawione zanim zdążysz o tym przeczytać na ulubionym blogasku.

      Po trzecie - w każdej dziedzinie unifikacja jest dobra jedynie w aspekcie zarządczym. W aspekcie rozwojowym jest zwyczajnie hamulcem.
      Jak myślisz kto wydaje więcej na rozwój Amazon, Google, Microsoft czy Januszex z Wąchocka?

      @werfogd: Ogólnie twoje uwagi są słuszne, natomiast nie bierzesz pod uwagę tego jak ogromne nakłady zostały poniesione na rozwój usług chmurowych. żadna firma w Polsce nie ma szans na inwestycje na tym poziomie.

    •  

      pokaż komentarz

      Taka ilość oprogramowania, która będzie służyła do kontrolowania naszego życia napewno będzie miała poważne błędy w zabezpieczeniach, które umożliwią obchodzenie tej kontroli na dużą skalę.

      @p_i_m_p_e_k: Ale to jest wręcz pożądane. Jesliby przyjąć że to jest spiseg, to przecież dla porządnego funkcjonowania takiego świata prawie niezbędny jest jakiś wróg. A im bardziej on jest nieuchwytny tym lepiej - nie chodzi o to, żeby złapać królika tylko żeby go gonić. I tym wrogiem mogą być wszyscy którzy obchodzą system. Co jakiś czas potrzeba zrobić pokazówkę, żeby wszyscy wiedzieli, że takie osoby faktycznie są, a jednocześnie to bardzo dobrze, że różnocowanie opiera się na cesze która polega na jej niewidoczności - bo wtedy nikt nie wie jaka jest faktyczna skala i można dowolnie, w zależności od potrzeb, eskalować lub deeskalować poczucie zagrożenia. Jak dla mnie - win-win.

  •  

    pokaż komentarz

    Znajdzie się sposób i na to...

    pokaż spoiler Wyłącznik wyłącznika ( ͡° ͜ʖ ͡°)

  •  

    pokaż komentarz

    Producenci aut go nienawidzą. Zanlazł jeden prosty trick na wyłącznik!

    pokaż spoiler PRZEŁĄCZNIK

    źródło: prze.jpg

  •  

    pokaż komentarz

    Nie będziesz mógł odpalić samochodu i będziesz szczęśliwy

  •  

    pokaż komentarz

    Moj nie bedzie, czyli nie kazdy.