Slashdot - Od sobote do četrtka je v Dallasu potekala konferenca TakeDownCon 2011, kjer raziskovalci predstavljajo odkrite ranljivosti v sistemih ter razpravljajo o izboljšavah in pristopu k večji varnosti. Za sredo je bila napovedana tudi predstavitev varnostnih pomanjkljivosti v Siemensovih industrijskih kontrolnih procesih SCADA (ki se uporabljajo za nadzor in krmiljenje industrijskih procesov, recimo zloglasnih centrifug, ki jih je prizadel Stuxnet). Pripravljala sta jo Brian Meixell in Dillon Beresford iz NSS Labs, pa sta se v zadnjem trenutku odločila, da jo zaradi prevelike nevarnosti odpovesta.
Meixell in Beresford poudarjata, da jima ni nihče grozil ali na vrata pošiljal odvetnikov. O odkritih ranljivostih sta razpravljala s Siemensom in ameriško Službo za domovinsko varnost (DHS), ki sta jih opozorila na morebitne posledice razkritja. Siemens je sicer pripravil popravek, ki pa ni bil uspešen. Zato sta se odločila, da odkritja ne predstavita, dokler Siemens ne zakrpa sistemov SCADA. Pri tem ponavljata, da informacija ne bo zakopana, ampak je zgolj začasno zadržana pred javnostjo. Odločitev je po njunih besedah avtonomna, saj Siemens in DHS naj ne bi bila zahtevala odpovedi predavanja.
če so jima plačal še toliko boljše... imtat fanta vsaj kaj od tega ... sicer se pa strinjam, da se takih ranljivosti ne odkriva, dokler ni popravka - saj lahko z odkritjem prizadeneš nedolžen folk, ki nima nič zraven (edit: ja tud luknja v Os lahko prizadane nodolžen folk, ampak ne v tej meri, tako da upam da je razlika očitna)
Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.
Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.
Hmm, js sm kupil krmilnik brez stranskih vrat, da lahko nemoteno obogatujem uran, zato update zahtevam na njihove stroške +izpad proizvodne
Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.
...ali pa se ne zakrpa, imho. tko da bolje, da take stvari ne gredo v javnost, ampak naj gre v javnost samo opozorilo da obstaja luknja, ki je nevarna in naj se odgovorni čim prej zmigajo.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...
razpravljala s Siemensom in ameriško Službo za domovinsko varnost (DHS)
Sem že enkrat omenil, kako v ameriki pri vseh ''nacionalno pomembnih'' zadevah, v senci stojijo razne agencije, pa so bili eni precej skeptični! V svobodnem tržnem kapitalizmu pa ja lahko vsak dela biznis! Itak!
Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.
A ja? A to pomen, da jaz delam za petino njihove cene? In tudi pri ostalem malo pretiravaš, no ja, mogoče v primeru res velikih zadev, na splošno pa prav gotovo ne.
.