W zeszłym tygodniu Google, Apple, Microsoft i Adobe zgarnęły węgle, ponieważ ich najnowsze produkty zostały zhakowane na Pwnfest 2016 w Seulu. Windows 10, Android 7.1 i MacOS Sierra wszystko spadły w ciągu kilku chwil od exploitów opartych na przeglądarce, dając członkom chińskiego zespołu Qihoo 360 pełny dostęp do wszystkich funkcji administracyjnych i zdrową nagrodę za to, że dostali się ludzie. Flash i, Cóż, to był po prostu Flash i został zhakowany szybciej, niż może załadować się na stronie internetowej.
Oczywiście, że tak. Prawie zawsze są. I prawie zawsze tak będzie.
Rozmawiałem o tym z przyjacielem. Nie jest kujonem i była zaskoczona, że tak się stało. Była bardziej zaskoczona, gdy dowiedziała się, że każdego roku hakuje się te produkty. W końcu te firmy stoją gdzieś na scenie i mówią, ile pieniędzy i czasu poświęcają, aby ten produkt był najbezpieczniejszą wersją w historii, więc myślenie, że są niewrażliwe, ma sens. Ale żadne oprogramowanie nie jest odporne, ponieważ jest to po prostu niemożliwe.
To, jak szybko zostanie naprawione - a nie jak szybko zostanie zhakowany - jest naprawdę ważne.
Wszystkie te exploity zostały zgłoszone etycznie. Oznacza to, że zespół powiedział Google (i wszystkim innym produktom, który się zepsuł), jak to zrobili i nikomu nie powiedział. Ale patrząc na to, jak zostały zainicjowane, wygląda na to, że wykorzystano coś takiego jak Javascript (lub inna popularna platforma internetowa). Exploit ten nie istniał, gdy opracowano system Android 7.1, Windows 10 lub MacOS Sierra (i już tęsknię za OS X), więc jest pewne, że nie wprowadzono kodu, aby poradzić sobie z tym, co się stanie. Po prostu nie możesz napisać w bezpiecznych rezerwach wszystkiego, co mogłoby się zdarzyć, a gdybyś mógł, oprogramowanie byłoby warte miliardy dolarów. Hakerzy wiedzą o tym, a ludzie piszący kod, który został zaatakowany, wiedzą o tym. Jedyni ludzie, którzy powinni to wiedzieć, ale nie wydają się, to media, które zgłaszają to jako coś niespotykanego i sensacyjnego, gdy jest to naprawdę przyziemne i oczekiwane.
Telefon z systemem Android 7.1 (lub komputer z systemem Windows 10 lub MacOS Sierra) jest prawdopodobnie najbezpieczniejszą wersją systemu operacyjnego, jaką kiedykolwiek zbudowano. Ale jest bezpieczny tylko przed rzeczami, o których budowali ludzie, i przed samym sobą. Ludzie już pracują nad znalezieniem błędu lub exploitem w czymś innym i zobaczeniem, jak mogą go użyć, aby rozbić wszystko i spalić na ziemię. Niektóre z tych osób robią to z właściwych powodów - ćwierć miliona gotówki za znalezienie i poinformowanie zaangażowanych firm jest najlepszym i najbardziej właściwym powodem wszechczasów. Inni robią to w nadziei, że uzyskają numer karty kredytowej. Oba typy ludzi odniosą sukces, a wszystko, czego użyjesz, zostanie zhakowane, ponieważ jest pełne błędów i dziur.
Nawet mój BlackBerry Priv, który niektórzy uważają za niehackowalny, prawdopodobnie został już zhakowany przez kogoś, kto wie, że „zmarnowanie” exploita na telefon, którego prawie nikt nie używa, nie jest sposobem na uzyskanie wielu numerów kart. Lepiej na nim usiąść i mam nadzieję, że znajdziesz lepszy cel, bo gdy się dowiesz, zostanie naprawiony. Pierwszą rzeczą, którą robisz po znalezieniu exploita dla Linuksa, jest sprawdzenie, jak możesz go wykorzystać na komputerze z systemem Windows, ponieważ jego celem jest przeniesienie go na jak najwięcej komputerów.
W telefonie działa oprogramowanie, które zostanie zhakowane. Ludzie, którzy to piszą, przygotowali się na to.
Spójrz na telefon w twoich rękach. Ma na nim oprogramowanie, które zostanie zhakowane. Wiem to. Ale wiedz też, że prawdopodobnie istnieją inne czynniki, które łagodzą wszelkie potencjalne szkody, a firma, która napisała to oprogramowanie, ma metodę, w której może to naprawić i spróbować dostarczyć go tak szybko, jak to możliwe. To jest coś, co trzeba usunąć z tych wszystkich wiadomości o hakowaniu. Liczy się szybkość naprawiania błędów, ponieważ błędy występują w każdym oprogramowaniu, jakie kiedykolwiek napisano. W ten sposób oprogramowanie staje się lepsze za każdym razem, gdy jest aktualizowane.
Zawsze tak było i jedyne, co się zmieniło, to ilość uwagi, jaką otrzymuje.
