Vlákno názorů k článku
OpenBSD 6.9 přináší podporu pro Apple M1 a umožňuje vypnout video vstupy od Miroslav Šilhavý - 1. Nemůžete spoléhat na to, že audit je...

1. Nemůžete spoléhat na to, že audit je veřejný. Např. vlády USA, Ruska, Číny mají téměř neomezené prostředky na to, aby chyby hledaly, ale nezveřejňovaly je. Z leaků víme, že toto mají (měly) i na komerční software, natož na OSS, kde to mají na stříbrném podnose.

2. Minimálně tyto vlády (ale nejsou samy) mají tolik prostředků, že by dokázaly chyby i vnášet. Stačí, že najdou kombinaci několika existujících chyb a vnesou jen jednu, poslední, která dotvoří fungující vektor útoku.

3. Stovky očí, které denně kontrolují kód, není pravda. Za posledních pár let se našly chyby, které byly velmi závažné a nijak moc komplikované, a nikdo je dlouhé roky neviděl, protože je nehledal.

4. Úplná kontrola nad hardwarem a softwarem je utopie. Neexistuje jednotlivec, který by si svůj systém dokázal plně zkontrolovat. Vždy musíte někomu věřit, že to udělal. V OSS to udělá především ten, který na to dostane rozpočet - a jsme znovu u toho, kdo má největší možnosti rozpočtů? Opět vlády velkých zemí. Jak poznáte, jestli je nějaký přispěvatel - třeba i velká firma - placený vládou? Nijak.

S trochou odstupu by se dalo uvažovat o tom, že OSS je nestranný. Všechny strany mají stejná rizika a stejné šance. Lišit se to bude hlavně tím, kolik peněz obětují vnášení a hledání chyb. USA a Čína mají asi nejvíc šancí, protože vstupují do řetězce i skrze výrobu a podporu hardware (pokud vyrobíte hardware s chybou, pak je nabíledni pracovat na podpoře ovladačů, aby se hardware rozšířil).

Osobně nemám strach z toho, že by mě nějaká velmoc sledovala, co by z toho měla? Počítám však, že v případě opravdu závažného světového konfliktu, mají přinejmenším prst na velkém, distribuovaném vypínači. Zároveň taky, když už nevidím vyhnutí být do toho vtažen, můžu podle osobních sympatií volit, na které straně chci být víc závislý. U mě je to demokratický svět, i přes všechny známé slabiny demokracií.

Dvě připomínky:
1) v seznamu jste vynechal NORKy - sice nejsou bohatí, ale zato mají ču-čche
2) Osobně nemám strach z toho, že by mě nějaká velmoc sledovala, co by z toho měla?
Pokud jste spojen s R&D (od vysokých škol po průmysl), tak jste v cílové skupině minimálně Číny a Íránu - projevují zvýšenou snahu získat informace o výzkumu. Nejspíš vám nic neudělají, "jenom" ukradnou vaše data, když budou mít možnost. Signalizují to i phishingové pokusy, které narůstají, a jsou už často poměrně cílené a někdy i věrohodné (včetně slušné češtiny). "Drahoušek zákazník" je minulostí.

Ono můžete přidat ještě další level uvažování. Samotným vládám se utajovaná zjištěná chyba vyplatí dál tajit, dokud mají přesvědčení, že o ní neví druhá strana. Tj. že ji dokáží zužitkovat v případě potřeby, ale že nemůže být zneužita proti. Ve chvíli, kdy naopak převládne přesvědčení, že i ti ostatní o ní vědí, pak se vyplatí chybu zveřejnit a zničit protivníkovi příležitost. Vůbec bych se nedivil, kdyby část chyb i backdoorů v hardware za poslední roky byla zveřejněna částečně i z tohoto důvodu (ale zase nejsem paranoidní, abych si myslel, že úplně vše bylo pod kontrolou a řízené).

Pointa je v tom, že vždy by měl člověk uvažovat o tom, před čím se chce chránit a čím za to zaplatí. Úplně jinak budu přistupovat k bezpečnosti, když si chráním maximálně svoje daňová přiznání, a úplně jinak, když budu obchodovat se zbraněmi. V obou případech jsou rizika úplně jiná, zejména kvůli rozdílným potenciálním útočníkům a k jejich motivaci.

Nevěřím však, že bych si dokázal postavit počítač a síť bez rizik.