Как стать автором
Обновить

Security Week 03: закат SHA-1 продолжается, баг или фича в Whatsapp, уязвимости в роутерах не чинятся

Время на прочтение 4 мин
Количество просмотров 14K
Всего голосов 22: ↑20 и ↓2 +18
Комментарии 14

Комментарии 14

Интересно, какое государство первым создаст службу, задачей которой будет взламывать старые устройства для латания дыр в них?
Либо разработает закон, который позволит обязывать производителей чинить дыры в безопасности в определенный срок.

По идее, эти проблемы должен был бы решить свободный рынок. Но такое ощущение, что никто не считает нормальную защиту устройств конкурентным преимуществом.
Пока не считают, но это ненадолго. А насчет «обязывать чинить дыры» — вот это сомнительно. Лучше если производители сами договорятся о каком-то кодексе. Который исходит из того, что абсолютно все не починишь.
Производители-то уж договорятся, что через два-три года устройства просто перестанут работать, а пользователям будет предлагаться купить новые, потому что старые были опасны и подвержены уязвимостям. Запланированное устаревание выйдет на новый уровень.
И штрафовать будут пользователей за пользование небезопасными (или безопасными, но «устаревшими», за «техосмотр» которых будут брать налог больше стоимости нового) устройствами.
Логично: развели, понимаешь, плюрализм праворульных маршрутизаторов.
[sarcasm]
По идее, эти проблемы должен был бы решить свободный рынок.

По идее да. Но, к сожалению, уже давно очевидно что в текущем виде свободный рынок не работает вообще.
Свободный рынок он не о том, как делать качественный продукт(как по идее предполагалось), а о том как эффективно продавать.

Нужен ИИ, который при покупке любой вещи сразу будет сообщать её плюсы и минусы, а также достижения и косяки компании.
Что-то типа современной системы рейтингов.
Но это всё равно не спасет.
Рядовому пользователю плевать на безопасность.
«Надо купить роутер. Вот вроде симпатичный и не дорогой»

«У меня увели все деньги с карточки! А проклятый банк не хочет их возвращать! Уроды! Буду с ними судиться!»

«Надо менять роутер. ой, вот этот вроде симпатичный и не дорогой.»

А можете подсказать, как лучше всего подбирать тогда роутер? Есть ли некие списки уязвимостей роутеров, чтобы просто проверять, есть ли в нем интересующая модель?

Неа, не подскажу. У меня тоже не дорогой и симпатичный.
Я, конечно, ретроград. Но 'все деньги' на карточке я никогда не хранил и не буду. Максимум — на текущие расходы. И пусть ломают до позеленения.
Зачем сообщать? ИИ при подключении будет сразу патчить прошивку, устраняя известные уязвимости.
Имхо, первые задачи порученные ИИ будут: полная дедупликация интернета и обновление старых исходников.
Ну, для начала я должен сообщить Вам, что свободный рынок не может существовать в принципе.
Дело в том, что рынок без регулирования государством очень быстро монополизируется — а монополизированный рынок не является свободным в том смысле, в каком из него следует «свободный рынок решает проблемы». (Примечание: Свободный рынок мог существовать во времена Адама Смита, когда эта теория возникла — ибо тогда технологии не позволяли построить гиперкорпорацию. А сейчас технологии логистики, коммуникации, etc — позволяют.)
А если государство для недопущения монополизации создало антимонопольный комитет — то такой рынок изначально не «свободный», а «регулируемый государством».

Ну и мне совершенно неясно, каким образом свободный рынок, если он будет существовать, заставит производителей выпускать качественную продукцию. До сих пор рынок стимулировал копрономику, т.е. действовал ровно в противоположном направлении.
Но такое ощущение, что никто не считает нормальную защиту устройств конкурентным преимуществом.
А она и не является конкурентным преимуществом. Действительно, кто, в здравом уме и твёрдой памяти, будет выбирать более защищённое, а не более дешевое устройство? Военные? Ну так для них отдельные устройства делают.

По идее, эти проблемы должен был бы решить свободный рынок.
«Свободный рынок решающий проблемы» — это рынок, на котором покупатели знают характеристики товара, которой они покупают. В случае с безопасностью всё строго наоборот: подавляющее большинство покупателей не просто не в курсе этой проблемы, они и её существовании-то не подозревают!

Безопасность — это вещь, которую рынок ни в каких областях не решил (ни в фармакологии, ни в самолётостроении), почему ИТ-индустрия должна быть исключением???
Ну я бы вот купил более безопасное. Только как это определить-то.
А никак. Вернее — можно, но нужно будет вбухать миллионы долларов в исследования того как разные устройства сделаны и что у них за болячки. Что при стоимости устройств в $100, а то и меньше никто делать не будет.

Решение есть и оно давно известно, хоть и нерыночно. Сертификаты. А дальше — да, уже действует рынок.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий