Citaat:
Oorspronkelijk geplaatst door Dadeemelee
Ik weet het niet. Er zijn al diverse eigenlijk onverklaarbare glitches in MS Win opgedoken. En nu die ‘programmeerfout’ in de Intel processoren. Dat is toch eigenlijk onverklaarbaar.
|
Nee, dat is perfect te verklaren. Alle complexe systemen bevatten fouten. Informatie systemen hacken is al het geval sinds ze bestaan en in openbare netwerken draaien. Er waren eigenlijk twee traditionele geinteresseerden in hacken: jongere geeks, en staatsspionage diensten zoals de NSA. Toen de financiele wereld meer en meer computers ging gebruiken, was er ook interesse bij cyberdieven om bankdinges te kraken. Er was maar weinig interesse voor anderen om dat te doen, omdat computers, tot de jaren 90 of zo, niet veel interessante informatie bevatten behalve voor die domeinen. Maar reeds in die tijd waren er geweldig veel "vulnerabilities".
Het enige dat veranderd is, is dat er veel en veel meer acteurs langs de DEFENSIEVE kant op de markt zijn gekomen, omdat er ook veel en veel meer interesse is langs de aanvalskant. Doodgewoon omdat er veel en veel meer confidentiele dinges gebeuren met computers. Daardoor worden er veel meer vulnerabiliteiten ontdekt en gecorrigeerd, maar dat wil niet zeggen dat er vroeger geen waren. In tegendeel zelfs.
In tegenstelling tot wat algemeen gedacht wordt, is de essentie van inbreken NIET het "inbouwen van achterpoortjes" in grote-publiek dingen door obscure diensten zoals de NSA. Ze hebben dat wel enkele keren geprobeerd, maar dat is niet wat ze doen. Wat zij doen, en waar zij, tot een decennium geleden of zo, grootmeesters in waren, was gewoon het VINDEN VAN VULNERABILITEITEN. Zij hadden een enorm leger van heel goeie informatici die zich de ganse dag bezighielden met het vinden van exploits. En ze hadden daar tonnen en tonnen van, niet omdat ze die lieten inbouwen, omdat die ALTIJD aanwezig zijn.
Installeer zoiets als Kali linux, en je hebt al een ganse batterij van exploits ter uwer beschikking waarmee ge andere machines kunt aanvallen. Veruit de meeste zijn uiteraard "gedicht" bij een recente installatie, maar computers die enkele jaren geen updates gehad hebben, daar geraakt ge zo binnen met een goeie kali linux. Welnu, denk U de NSA in als zo een systeem, maar op steroids.
Echter, sinds een decennium of zo is het zoeken naar vulnerabiliteiten allang hun monopolie niet meer, en zijn er veel prive firma's (waaronder Google) die dat eigenlijk beter doen dan de NSA. Vandaar dat er zo enorm veel vulnerabiliteiten worden ontdekt. Omdat, in tegenstelling tot de NSA, die dat voor zich hield om te kunnen gebruiken, die firma's hierdoor hun blazoen oppoetsen, en inderdaad hun klanten beschermen. Want het is tegenwoordig HEEL NADELIG voor een firma om een cyber aanval te ondergaan. Ge krijgt er een slechte reputatie door. En er zijn veel prive kapers op de kust ook.
Maw, de strijd in het vinden van vulnerabilities, om ze oftewel te misbruiken, oftewel om ze te publiceren en te corrigeren, is nu grotendeels uit de handen van de NSA. Het zijn prive firma's zoals Google en Kaspersky, en ook veel universitairen, die aan de "goeie" kant heel veel fouten publiceren, en er zijn obscure (vaak Russische) organisaties die ze zoeken om aanvallen mee uit te voeren.
Daarvoor moeten geen firma's omgekocht worden om achterdeuren te installeren: er zijn natuurlijke vulnerabiliteiten genoeg.
Die processor bugs zijn gewoon het gevolg van de competitie in de markt die intel moet leveren, om steeds performanter processors op de markt te brengen. Bijna alle recente CPU vulnerabilities zijn verbonden met het speculatieve uitvoeren van code. Dat is een manier om trachten te raden wat de volgende instructies zullen zijn.
Welnu, dat levert U een enorme winst op in performantie, maar het is essentieel op veiligheidsvlak onbeheerbaar.