Citat:
Dakle ovo je bruka sta su uradili, ajd glupa remote sijalica u pitanju, ali vidi sta su sve momci uspeli da odrade!!!
Fizicko obezbedjivanje kompjutera je posebna prica. Mislim da to i nije tema ove rasprave.
Citat:
I RSA kljuc vratili, i ceo firmware, ovi nisu nista ni pokusavali da zastite, sa alatkama sa "trafike" sve odradili ...
Ali tako je korisnik hteo, korisnik koji je to platio. Zasto bi ga trebalo sprecavati u tome?
Vidi, racunari koji nisu tako "zasticeni" pa korisnik moze da instalira softver po zelji na njih mogu nadziveti i firmu koja ih je proizvodila. Primeri neka budu linux/amiga-68k i netbsd/vax.
Taj TPM vise stiti od samog korisnika u korist nebuloznih korporativnih i drzavnih interesa.
Hajde da ja pokusam, mada ko me slusa.
Prvo, potrebno je definisati koji hardver ce IOT uredjaji koristiti. Hardver moze imati security flaws, ukljucujuci i TPM. To bi smanjilo rizik.
Drugo, potrebno je definisati koji OS ce se koristiti. To bi bio deo sertifikacije, a sa ciljem da se smanje security flaws. Trebalo bi da bude FOSS da ne bude proprietary, da se omoguci nezavisni audit i sloboda od korporativnih interesa.
Trece, potrebno je definisati centralni repository za update, nesto kao linux distribucija. Kada se update server kontaktira, vrsio bi siguran update uz RSA public key cryptography, recimo GNUPG ili na neki drugi nacin.
Cetvrto, bitno je definisati koje podatke ce IOT da prikuplja i gde. Nece svaki proizvodjac imati svoj cloud, vec ce cloud biti pod kontrolom neprofitne fondacije posebno stvorene. Tako nece moci da prate, recimo, sta kuvam preko recepata koje gledam na smart frizideru, i zatrpavati me reklamama.
Mora postojati opt-out uvek. Mora postojati mogucnost da podaci budu na serveru neke drzave, ukoliko to zakon zahteva. Ili lokalno, u okviru firme, recimo za limo servis nekoga hotela.
Ostalo i ne mora da se implementira za sigurnost od remote exploita - ako neko zeli da uredjaj bude tamper proof, to moze, ali nije uopste neophodno. Sve ovo bi povecalo sigurnost podataka, smanjilo pracenje IOT uredjaja od strane advertajzera, omogucilo security update i nakon sto proizvod bude povucen sa trzista.
[Ovu poruku je menjao bojan_bozovic dana 19.02.2019. u 12:38 GMT+1]