Tutto è bacato. Hardware, software, firmware, wetware. Tutto.
La maggior parte delle volte questi bug rientrano in limiti accettabili. Qualunque computer tu stia utilizzando, ad esempio, probabilmente ha 5-20 aggiornamenti del BIOS, a seconda di quanti anni ha. E per la maggior parte delle persone, possono essere molti aggiornamenti dietro senza problemi -. Perché i bug fissati dal versioni successive o non li impatto o non siano catastrofiche
A volte i bug sono più seri e devono essere risolti prima che qualcosa possa essere spedito / venduto. Ad esempio, farebbe schifo per fabbricare un milione di pen drive USB, quindi sarà costretto a lanciarli in perdita a causa di un bug che è emerso. Il produttore sarebbe molto meglio se fossero in grado di compensare l'errore (e il firmware possono spesso compensare i problemi di hardware, firmware non solo problemi).
Quindi, la regola generale è quella di sistemi che hanno un piccolo aggiornamento, la capacità, anche se il normale ciclo di vita del prodotto non si prevede che lo richiedono design.
Perché tutto è bacato.
WhiteWinterWolf pone questa domanda di follow-up nei commenti:
In the Black Hat presentation by Karsten Nohl and Jakob Lell, the
solution presented as the most simple and effective one would be to
lock the firmware down at the factory, blocking any firmware
update. Following your answer, do you think that such possibility
would therefore be not very realistic "in the real world"?
Ora siamo puramente nel territorio della speculazione. Ecco la mia opinione :
Il blocco del firmware è una soluzione tecnica, ma è uno che sarà abbracciato solo alla fine molto basso (a basso costo, dispositivi usa e getta) e il molto di fascia alta (marketing incentrata sulla sicurezza). Il vasto mezzo continuerà a spedire dispositivi scrivibili perché il business case esclude il caso di sicurezza.
Lascia che ti dica come sono arrivato qui:
Il blocco del firmware ha impatti positivi (maggiore sicurezza) e negativi (incapacità di aggiornare per correggere i problemi come descritto sopra).
Al molto bassi - dove è possibile acquistare un pen drive da 8 GB per $ 2 - l'impossibilità di aggiornare è meno di un problema. Con ogni probabilità, il produttore è relativamente generico e non si preoccuperà del colpo di PR per avere un dispositivo buggy che non può essere aggiornato. E a quel prezzo, i consumatori sono più propensi a buttarlo nella spazzatura e comprare qualcos'altro che cercare un aggiornamento.
Quindi i benefici per la sicurezza superano i costi aziendali della fascia bassa. (Sia i produttori di fascia bassa possono essere convinti di fare un semplice passo così è un'altra questione; per definizione, si preoccupano di meno il consumatore, perché non stanno costruendo la fedeltà alla marca).
Dall'altra parte dello spettro ci sono aziende che si vendono come provider di sicurezza prima di tutto. IronKey, ad esempio, vende dispositivi che si puliscono da soli se la password errata viene immessa troppe volte e che vengono cotti in resina epossidica per impedire l'accesso fisico. Per loro offrire il compromesso del firmware bloccato (nessun aggiornamento, ma meno insicurezza) va bene - questa è la loro proposta di valore. I loro clienti preferiscono gettare via costosi dispositivi piuttosto che avere rischi per la sicurezza che potrebbero essere evitati.
Come per tutti tra questi due estremi ...
Immagina una presentazione che viene data intorno a una sala riunioni. Il presentatore dice: "Siamo in grado di migliorare la sicurezza dei nostri clienti, contro un attacco di nicchia molto particolare, bloccando il nostro hardware in modo che gli aggiornamenti non sono possibili. C'è la possibilità ciò potrebbe causare alti tassi di restituzione dei prodotti, la pubblicità negativa, e danni generali al nostro marchio. Siamo qui per decidere se proteggere noi stessi o un piccolo sottoinsieme sconosciuto della nostra base di clienti contro una potenziale sconosciuta. "
Voteranno per fare la cosa giusta per l'azienda, non per l'ipotetico cliente individuale. E continueranno a spedire cose che possono aggiornare.
Solo i miei 2 centesimi (che è abbastanza buono per comprare una pen drive da 256 MB in questi giorni)