Esistono informazioni affidabili sulla prevalenza delle backdoor di debug nel software?

3

Gli sviluppatori a volte dimenticano di disattivare le funzionalità di debug del software che spediscono: CWE-489

Si dice qui che

About 20% of home routers have a backdoor in them, and 50% of industrial control computers have a backdoor.

Ma questa affermazione non è supportata. C'è qualche altra informazione disponibile, o studio fatto, sulla prevalenza di quei backdoor nel codice?

    
posta Jacques 23.06.2015 - 22:25
fonte

1 risposta

1

Non credo che ci sia uno studio scientifico affidabile sulla prevalenza delle backdoor nei dispositivi proprietari o nei sistemi di controllo industriale / SCADA. Una ricerca di JSTOR non rivela nulla di interessante (anche se, se qualcun altro vuole ricontrollare, per favore fatemi sapere se trovate qualcosa!) Quindi, il numero di riferimento è probabilmente solo una speculazione o basato su prove aneddotiche.

Detto questo, non credo che questo numero sia privo di giustificazione. Quando si utilizzano prodotti a sorgente chiusa, c'è sempre il rischio di una backdoor. Come sottolineato dall'articolo, molti non sono intenzionali e sono il risultato di sviluppatori che desiderano testare rapidamente il sistema senza gestire i controlli di accesso.

Tuttavia, il tema principale dell'articolo riguarda le organizzazioni internazionali di intelligence che inseriscono backdoor in prodotti destinati a ruoli vitali in un'altra nazione, in questo caso, i sistemi SCADA in Cina sono destinati all'uso negli Stati Uniti. In questi casi, può essere assunto che tali backdoor siano a posto. Ad esempio, quando gli USA spediscono gli aeroplani Boeing in Cina, sono famosi per essere stati caricati con numerosi e ridondanti bug nel telaio.

Quindi, la mia risposta breve è che non si può mai essere sicuri delle backdoor nei prodotti closed-source. Sul router domestico, potrebbe essere preferibile eseguire il flashing su un firmware open source se si condividono questi problemi. Ma per quantificare scientificamente la velocità con cui i dispositivi sono backdoor; Credo che non sia stato fatto e sarebbe impegnativo da fare in modo statisticamente significativo.

    
risposta data 24.06.2015 - 01:04
fonte

Leggi altre domande sui tag