Perché i sistemi informatici sono ancora insicuri? [chiuso]

Alla base, il problema è che il software è complesso. Per qualsiasi sito, hai tutto il codice JavaScript per far funzionare il sito. Hai il server per gestire le richieste. Hai la cache per gestire i dati di volo. Hai la CDN per archiviare tutto il contenuto. Hai qualche database per memorizzare tutti i dati. Hai server di backup dove vanno i dati. Hai server di registrazione in cui le informazioni possono finire. Avete tutte le librerie scritte da altri, ma usate da tutte queste parti. Hai i server web, scritti da altri. Hai il sistema operativo e tutte le cose installate lì.

Tutto ciò che un utente malintenzionato deve fare è trovare un errore uno in qualsiasi di questo codice, e il concerto è attivo. I programmatori sono umani, quindi invariabilmente, dato un milione di opportunità di scopare, lo faremo.

Ma questo è solo il lato tecnico. Anche se tutto il codice è sicuro, gli utenti hanno ancora password, e di solito sono cattive. C'è ancora la possibilità di chiamare il supporto tecnico e chiedere la "tua" reimpostazione della password, ottenendo il controllo di un account che non è tuo. Puoi ancora corrompere qualcuno a cui ha accesso (dal 2000, l'80% delle intrusioni sono state fatte da persone all'interno - programmatori vendicativi, segretarie annoiate, avidi venditori). C'è ancora gente dell'ingegneria sociale che crede che l'email falsa sia una richiesta legittima di reimpostazione della password.

Il problema non è risolto perché non c'è un singolo problema, non sono tutti problemi tecnici, e la maggior parte di essi è dannatamente dura nel caso generale.

Prima persone e aziende acquistano computer insicuri, quindi tentano di gestire il problema. Vendono ancora, non importa la mancanza di sicurezza.

Secondo persone che comprendono le vulnerabilità hanno contratti confidenziali che rendono difficile condividere le ideologie con gli sviluppatori hardware e os. Gli sviluppatori di hardware e hardware non hanno una buona conoscenza delle esigenze aziendali.

Io per primo sono un pesce grosso ma non posso usare l'e-mail della mia compagnia, quindi in alcune comunità la gente non si rende conto che ho esperienza di grandi cose e problemi seri che meritano attenzione e penso che sono pazzo. Ci sono molti professionisti come me.

Terzo , i brevetti e i diritti di authoring evitano la condivisione di buone idee. Guarda quanto velocemente la Cina si sta sviluppando e quanto dietro gli Stati Uniti stanno arrivando. il sistema dei brevetti è stato insegnato come mezzo per proteggere il piccolo inventore, ma nelle mani di grandi aziende è diventato un modo per forzare i loro prodotti inoltrando richieste fasulle contro i loro concorrenti.

Forth molte persone che scoprono gli errori del sistema vivono da esso e non rivelano i segreti se non vengono pagati. E proprio nell'ultimo decennio o giù di lì, pagano i premi.

Sesto la sicurezza incrementale è redditizia.

Settimo questo è un problema complesso che richiederebbe un enorme sforzo e la maggior parte dei problemi è stata scoperta dopo che ogni generazione di computer e software è stata implementata.

Il motivo è che è difficile rendere i computer sia utili che sicuri. Puoi renderli completamente sicuri, disconnettendoli da Internet e adottando altre misure, ma poi non sono così utili. Quindi iniziamo ad aggiungere funzionalità e funzionalità. Colleghiamo i nostri PC a Internet. Il WWW è divertente ma statico. Quindi creiamo Javascript e permettiamo alle persone di fare cose come il banking tramite un browser web. È difficile continuare a immettere una password, quindi creiamo gli ID di sessione e li memorizziamo sul client nei cookie o nei campi di moduli nascosti. Quindi permettiamo agli utenti di aprire contemporaneamente più siti web. Uh Oh! Meglio assicurarsi che altri siti Web non possano leggere quell'ID di sessione di altri siti ... e così via.

C'è un altro semplice motivo: le persone sono pigre e non consapevoli. Non mi colpirà. È lo stesso atteggiamento che prendi quando cammini per strada. Sono sempre gli altri a soffrire. Prendi Mail per esempio. La crittografia punto a punto è disponibile da decenni, ma nessuno la usa veramente. Non molto tempo fa ho firmato i miei messaggi e li ho recuperati dagli utenti di Mickeysoft sostenendo che i loro Outlook si rifiutavano di mostrarli senza poter decodificare la firma. Quindi l'ho spento di nuovo. Nel frattempo sembra che non vedo più lamentele, ma l'invio di messaggi crittografati tra parti fidate? Assolutamente no.

Un'altra osservazione: la sicurezza non è assoluta. È sempre relativo. E le persone (ho detto che sono piuttosto pigre) tendono a usare il modo meno arduo. Che a sua volta significa meno sicurezza.