Mene predvsem zanima (sploh od kakšnega security experta), koliko so tovrstni napadi na podjetja s strani random (ali malo manj random) hekerjev realni v vsakdanu in koliko so zgolj domena akademskih debat?
Npr tile spectre in meltdown, pa pred časom smo brali o Cold Boot napadu na RAM, pa Rowhammer, pa Plundervolt, pa ... Baje je gesla mogoče pogruntati tudi z uporabo AI in analize zvoka tipkovnice... Nenazadnje, na modernih sistemih, na out of the box postavitvi, kako lahko spraviš skozi bruteforceanje passworda na oddaljenemu sistemu? Kako lahko oddaljenemu sistemu feedaš 1000 gesel na sekundo?
Sploh v luči tehnik, ki delujejo (phishing, social engineering, keyloggerji, trojanci itd.), zakaj se ti pristopi obravnavajo kot resna grožnja?
Še en manjši rant:
Jaz imam zadnji čas občutek, da so prenekateri varnostni strokovnjaki totalni fachidioti, ki z množico obskurnih/teoretičnih/akademskih varnostnih groženj strašijo svoje stranke, najsi bodo to sodelavci v podjetju ali pa zunanji naročniki. Se mi dozdeva, da je na področju računalniške varnosti dokaj lahko biti fachidiot - jasno, vsi se zavedamo, kako resna reč je ta računalniška varnost, redko kdo pa ima dovolj pojma o tem področju (ali jajc) da bi temu oporekal, "varnostnemu strokovnjaku" pa zato ni treba vedeti kaj dosti o delovnem procesu v podjetu, ker ima vedno argument, da
nižanje varnostnih standardov na dolgi rok stane več kot vse njegove kaprice. Seveda se strinjam, da velikokrat v podjetjih premalo mislijo na varnost, ampak ti fachidioti gredo IMO pogosto res predaleč, enostavno zato, ker svojo službo vidijo kot neko glorificirano vlogo v podjetju, ne pa kot podporni proces podjetja.
Samo en primer: ko gredo zadeve tako daleč, da print server iz lokalnega omrežja pod sloganom
"za varnost gre" preseliš v nek private cloud in je rezultat ta, da se 10 barvnih strani tiska
dobesedno 15 minut (pred tem je bilo v gigabit omrežju to natisnjeno v 30 sekundah, všetevši čas za bujenje tiskalnika iz spanja), se dela merljiva škoda za podjetje. In tovrstni fachidioti pač ne razumejo, da je primarni cilj podjetja ta, da čimbolj učinkovito generira zaslužek lastnikom, ne pa ta, da se v imenu varnosti dnevni posel zakomplicira tako, da lahko kar vidiš, kako se denar z lopato mečlje skozi okno.
S tem seveda nikakor ne mislim, da so vsi strokovnjaki za računalniško varnost fachidioti, zgolj trdim, da se med varnostnimi strokovnjaki skriva ogromno takih, ki so res ozko specializirani za svoje področje in se obnašajo kot tisti možak, ki so mu v roke porinili kladivo - kar naenkrat je povsod videl samo še žeblje.
