Názor k článku Kybernetická bezpečnost: o čem je nový zákon? od Jenda - > No to jaksi neodpovídá na otázku jak. Tak...

> No to jaksi neodpovídá na otázku jak.

Tak třeba v letech 2006-2008 mohl všem debianistům na desktopu přes noc faktorizovat SSH klíč (CVE-2008-0166). V letech 2012-2014 mohl všem s openssl vydumpovat z paměti hesla (CVE-2014-0160). V letech 1999-2011 mohl vyownovat libovolný systém zpracovávající obrázky pomocí libpng (CVE-2011-2690). Z interpretů díry v PHP, Bashu, Perlu, … Přes co lze vyownovat tvůj systém dnes se dozvíš za týden na libovolném security listu.

A pak tu jsou samozřejmě různé hypotetické backdoory. Tak a teď přijdeš ty a tvrdíš, že tvůj systém prolomit nejde. Můžeš nějak dokázat, že v něm výše zmiňované chyby nejsou?

> ale ty má admin učinit tak rychle jak je to možné (tedy reálně v rámci hodin)

Ty máš podle mě naprosto mylný předpoklad, že chyba existuje, nikdo o ní neví, a první člověk, který o ni zavadí, ji hned běží opravit, diskrétně o tom informovat vývojáře a ti vyhlásí zveřejnění opravy. Jenže takhle to nefunguje. Spousta lidí neustále hledá chyby nikoli pro to, aby je opravili, ale aby je využili buď pro sebe, nebo je prodali někomu, kdo je, opět tajně, zneužije. Dokonce si na tom několik firem postavilo velice výnosný byznys (VUPEN, Hacking Team). Takže to, že jsi systém zazáplatoval deset minut po obdržení mailu z debian-security, je naprosto irelevantní. Tvůj systém přes ni mohl být kompromitovaný třeba před rokem kýmkoli, kdo si a) dal tu práci chybu najít, b) o ni náhodně zavadil, c) si ji za blbých 100kUSD koupil.