Kerrassaan koomista. Mutta foliohattuna voin myöntää, että aina pitää miettiä mistä lähteistä suorittaa ja mitä.
Pitää myös muistaa, että sen jälkeen kun koneella suoritetaan jotain koodia, joka ei ole omaasi. Se ei ole enää sinun koneesi. Vaan kone on jo jonkun muun hallinnassa. Se on sitten toinen asia, haluaako tuo sovellus antaa sinun päättää siitä mitä tehdään jatkossa, vai ei.
Tätä kannattaa miettiä jo pelkästään siinä vaiheessa kun koneessa on pelkkä käyttöjärjestelmä. Lataako se esim. automaattisesti päivityksiä? Vaikka koneessa ei nyt olisi mitään haittallisia ohjelmistoja, siinä voi hetkenpäästä olla. Nämä ovat huoltovarmuuskysymyksiä.
Omat hiukseni nousivat pystyyn, kun eräs iso palomuurivalmistaja kyseli erityisen yksityiskohtaisia tietoja siitä, millaiseen käyttöön tätä laitetta käytetään. Valmistetaanko aseita, missä päin maailmaa laitetta käytetään, liittyykö laite rahaliikenteeseen tms. Kyse on siitä, että laite on nyt tietoturvalaite. Mutta jos esimerkiksi aloitamme sodan yhdysvaltojen kanssa, lakkaa laite toimimasta tai antaa suoran pääsyn kätevästi järjestelmiin.
http://www.aijaa.com/v.php?i=5404405.pngKuvassa mainittu laite tekee kotisoiton joka päivä. Mikään ei estä sitä korvaamasta nykyistä turvallista firmwarea lennossa sellaisella joka on erityisesti suunniteltu vakoilua varten. Pahinta on että nuo laitteet on vielä tarkoitettu muka verkkohyökkäyksiltä suojautumiseen. Eh.
Jää vielä nähtäväksi jos joku valtio ajautuu sotaan, käytetäänkö esimerkiksi Windowssia häikäilemättä hyväksi. Epäilyksiä on ollut siitä, että tahallaan istutettuja reikiä on, mutta mitään ei ole kai pystytty vielä todistamaan.
Muistakaa että Irakin sorrettu kansa "vapautettiin" yhdysvaltojen toimesta.
Olen monesti huomannut että tietoturva on isoissakin yrityksissä ihan retuperällä. Domain admin tunnuksia saa helposti, palvelimelle jätetään vailla valvontaa. Sovelluksia saa tuoda järjestelmiin ajettavaksi pääkäyttäjänä ilman huolellista ennakkotarkistusta.
En tietenkään ole koskaan väärinkäyttänyt noita mahdollisuuksia. Mutta se olisi naurettavan helppoa mikäli halua olisi.
Parhaassa tapauksessa ei ollut ketään paikalla, mutta HR päällikkö antoi kassakaapista paperinipun jossa oli kaikkien käyttäjien loginit ja salasanat. Todella kätevää. Sen jälkeen olisin voinut esiintyä kenenä haluan murtautuessani verkkoon.
Kyllä sitä on montaa kummallista käytäntöä tullut todistettua.
Moi ole X. Tulin hakemaan koneen huoltoon. Okei, mee hakeen se. Sitten marssii sisään ottaa jonkun koneen kainaloon ja marssii ulos. Ei voi olla näin helppoa. En kuitannut mihinkään, minua ei edes kuvattu. Ainoastaan tuntomerkit olisi olemassa siitä kuka kävit tavarat hakemassa.
Joten ei se leväperäisyys pelkästään käyttäjiin ja tietokone-ohjelmiin rajoitu.