Come fai a sapere che un computer non è compromesso quando lo si ottiene per la prima volta? Come fai a sapere che i produttori non hanno intenzionalmente creato vulnerabilità nel sistema?
Come fai a sapere che un computer non è compromesso quando lo si ottiene per la prima volta? Come fai a sapere che i produttori non hanno intenzionalmente creato vulnerabilità nel sistema?
Non lo fai. Alcuni fornitori do infatti spedisci backdoor con i loro prodotti e molti computer vengono forniti con "crapware " preinstallato come fonte di guadagno per i produttori. Anche le app che non contengono una backdoor possono causare altri danni (ad esempio le barre degli strumenti del browser che monitorano la navigazione).
Stesse preoccupazioni si applicano all'hardware, in particolare nelle apparecchiature di rete .
Che cosa puoi fare:
Reinstallare un "sistema operativo pulito" su qualsiasi nuovo computer. Questo probabilmente significa acquistare una nuova copia vanigliata di un sistema operativo che hai già pagato (l'immagine di fabbrica fornita con il computer conterrà anche l'originale "crapware", a meno che tu paga di più per non avere il crapware ).
Reinstallare un sistema operativo più affidabile su un nuovo computer (a meno che non si scriva il proprio sistema operativo, ci si deve fidare di qualcuno a un certo punto). Ubuntu, Security-Enhanced Linux , qualunque sia la tua fiducia.
Usa solo l'hardware di cui ti fidi. Questo di solito significa evitare l'hardware prodotto in paesi ostili ai tuoi. Huawei (un produttore cinese di apparecchiature di rete) ha difficoltà a dimostrare che è abbastanza affidabile per fornire alcuni governi.
Non lo fai. La maggior parte delle presunte backdoor sono state problemi software (Google per _NSAKEY, o Digital Encryption Standard e NSA interference, o Huawei e backdoor), ma una backdoor hardware non è fuori questione. Il problema di nascondere "proprietà intellettuale" o altre preoccupazioni nel software o nell'hardware proprietario peggiora questo problema.
Se tutto l'hardware fosse aperto e potessi ottenere schemi e tracciarli, potresti scovare compromessi hardware. Tramite Diverse Double-Compiling , è possibile rilevare compromessi software, a condizione che il software fosse open source.
Sarebbe piuttosto costoso fare la verifica hardware e software. Dal momento che "sicurezza" è un bene economico, con un prezzo e un valore, decidiamo tutti quale valore ci si aspetta dall'hardware fidato o dal software di fiducia, quindi vediamo se il prezzo è inferiore al valore. Per alcuni, il valore non è così grande. Microsoft ha permesso al governo cinese di guardare Windows codice sorgente . Presumibilmente, è valsa la pena alla Repubblica popolare pagare Microsoft per tale privilegio e pagare i propri esperti di sicurezza per passare attraverso il codice.
Leggi altre domande sui tag hardware trusted-computing