Názor ke zprávičce Kritická zranitelnost FortiOS SSL VPN od Adam Kalisz - Skoro by se dalo říct, že bezpečnost není...

Skoro by se dalo říct, že bezpečnost není úplně jejich ... forte.

Nakonec, už z názvu SSL VPN by mělo jasně vyplývat, že tohle člověk nechce používat, protože v reálu by to dávno mělo být TLS. Takže marketing je asi 20 let za realitou.

Když by zákazník byl na tom s bezpečností skoro lépe, pokud by produkt konkrétní bezpečnostní firmy nepoužíval, tak by se měl výrobce hodně silně zamyslet, jestli není čas na zásadní změnu přístupu. Současně by mu k tomu měl dopomoct odpovědný regulátor a další odpovědné struktury - zvlášť pokud je dotyčný produkt hojně používaný právě veřejnými institucemi.

Mám pocit, že produkty Fortigate (či rebrandované produkty) by mohly být na pár let vyřazeny z možnosti participace na výběrových řízeních pro státní instituce a podniky, stejně jako podniky, firmy a instituce spadající do kritické infrastruktury. Přezkum rozhodnutí by po uběhnutí lhůty mohl proběhnout až po hloubkové analýze kódu státem vybranými odborníky, kteří by byli ale plně zaplaceni káranou firmou. Až po jejich dobrozdání a soudním sejmutí zákazu by firma mohla dále na výběrových řízeních participovat. Nakonec myslím, že třeba u Toyoty se to zhruba tak řešilo včetně analýzy projektu a dokonce zdrojových kódů, tedy pro upřesnění, nemyslím si, že jim zakazovali účastnit se výběrových řízení, ale ta analýza šla na soudní poměry hodně do hloubky. (https://en.wikipedia.org/wiki/Michael_Barr_(software_engineer) a https://www.edn.com/toyotas-killer-firmware-bad-design-and-its-consequences/)

Je to totálně šílené, ale to jsou neautentikované RCE na firewallu/ VPN taky. To už se člověk nemůže spolehnout opravdu na nic?

9. 2. 2024, 21:35 editováno autorem komentáře