クローズドソースのファームウェアを搭載したマシンでオープンソースとセキュアOSを使用している場合、その意味は何ですか?

私はOpenBSD OSに非常に興味を持っています、それは現在私にとってその同時代のものよりもセキュリティをより重視する選択肢であるように思われるので。しかし、私が読んでいるように、たとえOpenBSDがそれであると主張しているとしても、OSをクローズドソースのBIOS /プロプライエタリなハードウェア上で走らせているなら、そのセキュリティと開放性はどれほど重要なのでしょうか。

私はOpen BIOS、coreboot、Librebootを知っていますが、なぜOpenBSDのようなセキュリティ重視のシステムではオープンファームウェアの使用についてそれほど大したことができないのでしょうか。そもそもクローズドファームウェアを使うことでオープンセキュリティの目的を破りませんか?

29
そのためには、openBSD開発チームにとってのセキュリティの深刻さはそれがオープンソースであることに頼っているのではなく、むしろチームが高い標準を守るという事実です。そのため、基盤となるソフトウェアのセキュリティの深刻さも同じ基準に従って評価する必要があります。開始する1つの場所は、特定のベンダーのBIOS/BMCなどに対する既知の脆弱性です。
追加された 著者 Chris B,
はい、私は開放性をより高い安全性と同一視しています。これがハイテクセキュリティ分野における「正しい」スタンスなのか、それとも「哲学的」なものなのか、私にはわかりません。私は、LenovoのSuperfishの場合のように、誰かがあなたのコードを見ることができれば、悪意のあるものを回避するのは難しいと考えています。それで、確かに、openBSD開発は本当に非常に高い標準のものであるかもしれません、しかしそれが本当に高い標準のものであることを保証するのはオープンであるという事実ではありませんか? 「誰でも」自分自身を探すことができるように?
追加された 著者 ikaushan,
フリーソフトウェアとは、監査のためにだれでもを雇えるということです。
追加された 著者 masfenix,
繰り返しますが、あなたは私がしている主張を誤解しています。残念ながら、私がすでに述べたことよりも明確にそれを説明する方法がわからない。
追加された 著者 MikeJ-UK,
@Vooそれは前提ではありません。ウィキペディアによると、 Kerckhoffsの原理は、「敵」としてクロード・シャノンによって再公式化された(またはおそらく独立して定式化された)システムを知っている、すなわち、「敵がすぐにシステムに精通しているという仮定の下でシステムを設計するべきである」。「敵がシステムを知っている」という仮定を与えなければならない場合、必ずしもそうとは限らないとしても、友達がそのシステムを知らないとあなたは不利な立場に立つと考えられます。
追加された 著者 MikeJ-UK,
@ schroederはい、「オープンソース」は「安全な」と同等である必要があります。Kerckhoffの原則によると、敵対者はその行為に関する完全な知識を持っていると常に仮定しなければなりません。システム。善人が同じ知識を入手できない場合、どのようにして安全であると信頼できるのでしょうか。
追加された 著者 MikeJ-UK,
@MasonWheelerあなたはもちろん、オープンソースプロジェクトは安全であることを意図していると思っています。 GitHubはひどく安全でないコードでいっぱいです....私が上で言ったように、人はコードを見ることのできる能力で安全にしたいことを定義する必要があります。
追加された 著者 schroeder,
あなたは、「オープンソース」を安全なものとみなしているようです。クローズドソースコードも安全です。あなたの質問は、あなたが何に対して安全にしたいのか、そしてあなたのシナリオにおいてクローズドソースがそうではないのに対してどのオープンソースコードがあなたに与えるのかにも左右される
追加された 著者 schroeder,
@mason kerckhoffは a-> b の形式のステートメントを作成しています。あなたが主張しようとしているのは、 a-> b そして b-> a もまた真実でなければならないということです。そしてそれは私が知っているどんな論理システムにもたどり着きません。あなたは他の声明はそれにもかかわらず真実であると思うかもしれませんが、それはkerckhoffから得られません。
追加された 著者 Cascabel,
@メイソンあなたの結論は前提からはたどりません。はいKerckhoffの原則は、内部の仕組みが敵対者に知られていてもシステムは安全でなければならないと述べています。しかし、それは反対を意味するものではありません - a - > bb - > a を意味するものではありません 。あなたはその意見を持っているかもしれませんが、そのような感情をKerckhoffに誤解しないでください。
追加された 著者 Cascabel,
@schroeder完全な働きにアクセスできる人、そしてそのような判断を下すことを信頼している人があなたにそう言ったからです。
追加された 著者 immibis,
@herzEGGオープンであることによって安全であることは何度も、おそらく最近ではopenSSLプロジェクトによって証明されていません。
追加された 著者 Obviously_Anon,
OpenBSDはセキュリティの一面を他の誰よりも真剣に考えています。
追加された 著者 Michael Hampton,
たくさんの人が何かを見ることができるからといって、彼らがそうすることを保証するものではありません。また、発見した脆弱性の開示を保証するものでもありません。したがって、オープンソースはより多くの安全性とセキュリティを保証するものではなく、単にCOULDがより多くの安全性とセキュリティをもたらすプロセスを促進します。
追加された 著者 Aureliano Far Suau,
これは実際には非常に良い点だと思います。
追加された 著者 Nafis,
この記事は、関連性があるか、少なくとも興味深いものです。 「セキュリティを真剣に考える」ことがあなたの主な考慮事項であるならば、あなたはQubes OSを考慮したいかもしれません。免責事項:私は自分でそれを使ったことは一度もありません。概念的に面白いと思います。
追加された 著者 Harry Johnston,
オープンハードウェアが必要なのはそのためです。
追加された 著者 dave,
他のすべての競合OSと同じように、OpenBSDは同じ基盤となる独自のファームウェアなどの上に乗っています。基盤に脆弱性がある場合は、少なくともOpenBSDが固有のリスクを増大させる可能性が低いかもしれません。
追加された 著者 user554578,

11 答え

歴史的に見て、オープンソースの動きはセキュリティではなく自由についてのものです。基本的に、Richard Stallmanは、ドライバのソースが入手できなかったために彼のプリンタをいじることができなかったことに非常に失望しました。

OpenBSDが "安全"であるという姿勢は、オープンソースではないということではありませんが、セキュリティに関して適切なことをするという公約と誓約に基づいています。人と人との平和的関係の管理に

The association between security and open source is more recent. In fact, right from the start, it was explained as being an incomplete concept (see Ken Thompson's famous Reflections on Trusting Trust). One element in the discussion is Linus's Law that says:

十分な眼球を与えられて、すべてのバグは浅いです

コアとなる考えは、十分な数のレビュー担当者がいると、バグが発見され、これがセキュリティ関連のバグにまで及ぶことです。ただし、これはレビュー担当者が いるという前提のもとでのみ成り立ちます。オープンソースソフトウェアは外部レビューを容易にしますが、それは外部レビューが実際に行われるという意味ではありません。既存のソースコードを最後に見たのはいつですか?

その好例がOpenSSLです。コードベースにさらに別の脆弱性が発見された後、 LibreSSL という名前のフォークが作成され、彼らは明示的な確認作業を始めました、それはコードベースでいくつかの深刻な問題を見つけました。これらの問題は何年も前から存在していました。Linuxエコシステムで最も重要なセキュリティ関連のライブラリの1つと言えるライブラリの真ん中にあります。そのため、これはオープンソースでしたが、適切な脆弱性の検出を達成するにはまだ十分ではありませんでした。

したがって、もちろんオープンソースがセキュリティに役立ちますが、期待できるほど多くはありません。

What open source really brings is a much increased risk for people who want to willingly plant backdoors. It is hard to make code that looks innocuous to reviewers and still does bad things (there is a contest for such code).

41
追加された
OpenSSLのコンテキストでは、OpenSSL 1.1.0がLibreSSLのforkと同じ手順を踏み出して、重大なコードのクリーンアップを行い、実際には古くなった/脆弱な暗号を削除することは明らかです。 現時点では、アルファ3バージョンとして入手可能です。
追加された 著者 Sergio del Amo,
自由の面と安全保障は相互に関連していると思います。それはあなたがopenSSLについて言っていることとバグが発見されていないのは事実です。しかし、OpenSSLがクローズされた場合、それをフォークする機能はゼロになります。また、クローズドソースソフトウェアでは、コードを書いた人は誰でも信頼しなければなりません。 OSSを使用すると、コードの透明度を調べることができます。あなたは必ずしも実際の攻撃を見つける必要さえもなく、単に「毎分WTF数」を数えるだけです。私は、おそらくこのまさにその理由のために、OpenSSLを使用することを選択した主要ブラウザのどれも考えていません。
追加された 著者 Steve Sether,
@JamesSnellそのまれなケースでは、信頼は単に別の第三者、コードレビューアに置かれるだけです。コードレビューアはここで固有の利益相反を持っています、なぜならそれらはソースを作成した会社によって支払われているからです。また、ある企業が「悪い評価」を受けた場合は、それを保留にし、他の人に支払ってより良い結果を得ることができます。
追加された 著者 Steve Sether,
The Underhanded Cコンテストへのリンクを感謝します。
追加された 著者 Mark Buffalo,
Richard Stallmanはオープンソースとはほとんど関係がありません。彼はフリーソフトウェアを宣伝しています。これらは違うものです。
追加された 著者 S. Hao,
@SteveSether - "クローズドソースソフトウェアでは、コードを書いた人は誰でも信頼しなければならない。"そうではありません - あなたがソースを見ることができないからといって、外部からのレビューが行われていないとは限りません。
追加された 著者 Martin Spamer,
RMSは、今日では一般的に理解されている多くの点でセキュリティに「反抗」していました。マルチユーザーマシンのすべてのユーザーが管理者であるべきだと考えています。 2002/09/msg01810.html "rel =" nofollow noreferrer "> lists.debian.org/debian-devel/2002/09/msg01810.html
追加された 著者 Jay Cincotta,

オープンソースは絶対に安全ではない=安全

誰でも CAN でオープンソースのソフトウェア/ハードウェアを見ることができますが、それは「だれでも」 WILL を見ることを保証するものではありません。さらに、彼らがそれを見ても、それが彼らが彼らが脆弱性であるかもしれないと思う何かを明らかにするという意味ではありません。人々はオープンソースについて考え過ぎており、彼らが信じる誤謬の1つは、たくさんの人々が何かを見ることができればそれが突然より安全でより安全なものであるということです。これは明白に真実ではありません。製品に多くの目を向けられることができてうれしいですが、それらの目の倫理と道徳は彼らの技術的な力があるのと同じくらい私にとって関心事です。

とはいえ、オープンソースの背後にある概念が適切に実装されていれば、オープンソースには多くの利点があります。

また、クローズドソースは自動的に安全性が低下するわけではありません。

But to directly answer your question, no you don't automatically defeat the purpose of using a known OS that is concerned with security like OpenBSD by running it on top of closed source hardware as the hardware itself could have very secure code/firmware behind it just as much as something open could.

25
追加された
@Saibot - あなたが信頼できる設定を持っていないのであれば、ファームウェアがオープンソースであるかもしれないという事実はセキュリティ問題にとって重要ではありません。あなたはそれが安全であると主張するJoe RandomからのLinuxボックスを受け入れないでしょう?その場合は、(非)セキュリティを確認するのにより簡単な時間がありますが、それは同じ問題です。それは別の答えで言及されている信頼の信頼の反射のリンクで言及されている問題です。観察できるものだけでなく、チェーン全体を信頼する必要があります。
追加された 著者 Robert Dean,
@ Saibot - どのようにしてハードウェアにロードされたのでしょうか。ボードを構成部品から組み立てるときに、 自分でロードしましたか。答えが "いいえ"であるならば、それはまだバックドアすることができます(そしてあなたがしたとしても時々...)。それは同じバイナリでしょうか?いいえ、しかしそれを守る方法がないかもしれません。は通常ファームウェア自体に自分自身についての質問をする必要があるため/アップデート機能を実行するためにあります。
追加された 著者 Robert Dean,
@ Saibot - false、ハードウェア経由でバックドアすることも可能です。あなたがすべて自分で作るのでなければ(そして私があなた自身のチップマスクを含むすべてを意味するのではない)、あなたはいつも他の誰かがバックドアに滑り込む道を持っています。楽しんでください〜!
追加された 著者 Robert Dean,
@Sqeaky:たとえそれがオープンソースで安全であっても、誰がハードウェアがそれがするべきことをしていると言っているのでしょうか?
追加された 著者 Annie,
また、愚かな色を付けますが、ソフトウェアのセキュリティホールを見つけるのは、あなたが行うよりもソースコードを持っていないほうが難しいという常識のようです。不適切な設定では、これは現実的に真実です。
追加された 著者 Annie,
OpenSSLがあり、たぶん多くの人がそれを見て、そして実際にコードを実際に読んだり理解したりすることなしに、たわごとがファンに当たるまで嫌悪で目をそらした。
追加された 著者 gnasher729,
@ Clockwork-Museソフトウェアやハードウェアがブラックボックスの場合、信頼するしかないのです。そうでなければ、あなたは監査する機会があります。彼らは彼らの製品が安全であると言っているのでなぜ私はどんな会社を信頼するべきですか?私は彼らの主張を試すことができるはずです。
追加された 著者 dave,
@ Clockwork-Muse私は同意しますが、あなたは私が言っていることを理解していません。もちろん、ハードウェアやファームウェアのインストールに関するセキュリティ上の問題は他にもありますが、ファームウェアがオープンソース化されればそれは進歩です。
追加された 著者 dave,
@ Clockwork-Muse私は、少なくともファームウェアが裏切られていないことを知っています。
追加された 著者 dave,
少なくともあなたはそれが遅れていないことを知っています...私はあなたが間違ったOPの問題を理解していると思います。
追加された 著者 dave,
ハードウェアは、信頼するための単なる別のものです。彼らがすべてを監査しているという信頼を非常に心配している人は、おそらく彼ら自身のハードウェアを吟味したり作成するための場所に何らかのメカニズムを持っています。
追加された 著者 Willy,
この記事は信頼の問題を完全に避けています。ファームウェアが安全であっても、誰がそれを主張することしかできないと言うことができますか?
追加された 著者 Willy,

「open source == secure」という議論をさておき、この質問を「BIOS /ファームウェアが安全であると保証されていないのになぜ安全なOSを走らせるのか」と見ることもできます。

攻撃者がちょうど窓を割ることができるのに、なぜ私の正面玄関のドアをロックするのは面倒ですか

あなたは完全に安全なシステムを作ることは決してないでしょう。あなたができることは、攻撃者が悪用するのが簡単な部分を確実に保護するように取り組むことです。ファームウェアを悪用するのはもっとやりがいがあり、それらはハードウェアの特定のモデルをターゲットにすることに限定されています。一方、OSのバグは悪用されやすく、より大きなターゲットベースに影響を与えます。

だから、理想的にはあなたは両方が欲しいのだが、片方だけを持っていても無駄ではない。

20
追加された
ファームウェアの悪用は物理的なアクセスを必要とすることが多く、その時点であなたの「安全な」ファームウェアを交換または改ざんする可能性があることも言及する価値がありますか。
追加された 著者 Martin Spamer,
脅威モデルと攻撃方法は異なります。より良い例えは「私が店に行く途中で強盗になることができたときになぜ私の正面玄関のドアをロックするのに迷惑を掛けますか?」であろう。安全でないファームウェアを持っていても、ffmpegのバグに対して安全性が劣るわけではありません。強盗に弱いということは、ドアをロックする価値がないということです。彼らは全く異なる問題を解決します。
追加された 著者 forest,

Open source (free/libre) software is not (primarily) about security. One of its more important aspects is trust: you can verify what's running, it is much harder to hide something malicious. Some people also claim to more people will (might) be reading the code, which means chances are higher of vulnerabilities being found and fixed, resulting in higher code quality. This was already discussed in the answer of Tom Leek in depth. I won't get into this debatable topic deeper in this answer, as your question is not about why open source software is more secure, but why bothering at all if the firmware is closed source.

オープンソースソフトウェアも必ずしも安全ではないという事実を脇に置いて、信頼されていないファームウェアで信頼されたコードを実行してもコードの実行が信頼できなくなることはありませんか。確かに!しかし、攻撃の可能性は小さいです。コンピュータのオペレーティングシステムやアプリケーションソフトウェアにアクセスするよりも、デバイスのファームウェアインターフェイスにアクセスする方がはるかに困難です。完全なセキュリティはありませんが、特定の予算内でリスクを最小限に抑えることを試みることができます。

十分な努力をすれば、クローズドソース(UEFI/BIOS)ファームウェアをオープンソースソフトウェアに置き換えることができます:Corebootは、一部の製品にオープンファームウェアを実装する優れた例です。しかし、 UEFI/BIOSだけがファームウェアではありません:IntelのマネジメントエンジンのようなBLOBがまだ必要な場合があります。グラフィックやネットワークカードのようなハードウェアデバイスはファームウェアを持っています。 CPU。そしてそれらのすべては、メモリおよび/またはストレージを多かれ少なかれ恣意的に制御することができます。最後に、あなたは悪意のある回路を普通のハードウェアに実装しているかもしれないCPUベンダさえ信用しないかもしれません。

You have to stop at some point, and simply trust the vendor, as costs heavily increase the deeper you descend the stack towards hardware. Do you have the capability of finally verifying a complex CPU design and manufacturing the CPU on your own?

At Chaos Communicaiton Congress 2015 (32C3), there was a great talk how to get Towards (reasonably) trustworthy x86 laptops, providing a summary on the topic.

6
追加された

完全なセキュリティというものはありませんが、セキュリティを破ることをより困難にすることができます。 BIOS、UEFI、Intel SME、ネットワークやグラフィックカードのBIOS、CPU Microcode、悪いCPUデザインの中からシステムを危険にさらすことは可能ですが、これはユーザースペースプログラムでバグを使用するよりもかなり困難です。またはOSカーネル。したがって、OpenBSDの人々は、彼らが解決できる問題と、それが本当に助けになることを気にかけています。これは彼らが他の問題を意識していないという意味ではありません。

4
追加された
私はUEFI仕様が許すものを調べなければならないという程度までは素人です。しかし、実際には、メインボードのファームウェアを介してシステムを危険にさらすことはまったく簡単なようです(UEFIはブート時にネットワークアクセスを指定します)。そのコードは製品の一部にすぎず、製造時に政府機関、卑劣な会社、または悪意のある従業員(または3人すべて)によって配置されます。これは明らかにCisco製品、キーワードJetplowのNSAによってされました。そしてNSAは選出された政府の一部です。
追加された 著者 Bobas_Pett,

ファームウェアは通常、ハードウェアと一緒にまとめられており、ほとんどの場合、ハードウェアを信頼することを余儀なくされています(より良い代替手段がないため)。だからあなたはファームウェアを信頼することになります。

Not that this is a good thing - trust never is in InfoSec! But if you're trusting the hardware, you don't gain too much by not trusting the firmware. If you want to scare yourself on this subject, watch Ralf Weinmann talk about the baseband software that every phone has but no-one ever thinks about: https://www.youtube.com/watch?v=fQqv0v14KKY

1
追加された
+0。この「電話」とは何ですか?
追加された 著者 ebann,
InfoSecでは、 "決して"信頼しないことをお勧めします。それが必要とされていると良い両方の機会と文脈がたくさんあります。
追加された 著者 Aureliano Far Suau,

考慮すべきより深いレベルが常にあり、ユーザーはどこで止めるべきかを選択しなければなりません。

  • 多くのチップには壊れにくいファームウェア/ BIOSがあります。編集できない場合でも、それを希望しますか。
  • プロセッサのマイクロコードはどうですか。それは置き換えることができます(そしてそうです)
  • あなたのプロセッサ/ GPU/...の編集不可能なマイクロコードはどうですか?

「本当に安全」となる唯一の方法は、あなたのマシンのすべてのチップの正確な設計をすること、そして物理的なチップがその正確な設計を持っていることを検証することですあなたが信頼できないいくつかのブロック。

1
追加された

私はあなたが完璧を善の敵にしてはいけないことをあなたに思い出させるでしょう。

はい、OpenBSDはクローズドソースのファームウェア上で動作するため危険です。ここにはちょっとしたキャッチ22があります。クローズドソースのハードウェアプラットフォームは、オープンマーケットで市販されているものの大部分を占めています。あなたが人々にあなたのソフトウェアを使用させたい/他の誰かにサービスを提供したいのであれば、あなたはそのファームウェアのいくつかで実行する必要があるでしょう。

セキュリティの観点から、彼らはOpenBSDソフトウェアを書いて実行することによってソフトウェアセキュリティに関する多くの問題を解決することができます。ファームウェアに存在する悪用は、通常、少数の選択されたグループによって行われます(ほとんどのファームウェア攻撃は、はるかに専門的です)。

オープンソースオペレーティングシステムであれば、オープンソースハードウェアグループは既知のソフトウェアベースから始めることができます。大規模な資本基盤がなければ、両方を同時に構築することは法外なことです(ほとんどの年、OpenBSDはそれが書いているソフトウェアの基盤をほとんど持っていません)。

優れた手頃な価格のオープンソースハードウェアソリューションが存在するまで、人々がオープンソースのハードウェアソリューションを使用していないと不平を言うのは、雨が降っているように思えます。

0
追加された
さらに、オープンソースソフトウェアは(必要に応じて)多くの人がコードを確認して編集できるため、(部分的に)安全です。手頃な価格のオープンソースハードウェアソリューションが存在したとしても、スキルや機器が不足しているため、多くの人々は、特にシリコンレベルでハードウェアをレビューすることはできません。そのため、手頃な価格のオープンソースハードウェアでも、ハードウェアセキュリティ/検証のための手頃な価格のツールを作成し、大規模な教育キャンペーンでハードウェアセキュリティについての教育を始めない限り、解決策にはなりません。
追加された 著者 A. Darwin,

ファームウェアを信頼できなくても、OS(およびアプリケーション)を信頼できるようになると、システムに対する信頼性が全体的に高まります。

また、ファームウェアがシステムを起動する以外に使用されることはめったにありませんし、脆弱性やその中のバックドアが正常に起動して実行されるとOSに影響を与える可能性はほとんどありません。

0
追加された
いいえ、 はOSの起動にのみ使用されます。 OSがCPUを引き継ぎ、ハードウェアの制御を引き継ぐと、ファームウェアは動作できません。
追加された 著者 Emma,
概念実証ファームウェアのバックドア/エクスプロイト(および場合によっては "実際に"存在するもの)もありますが、ほとんどの場合、これらは検出可能であり、かつ/または適切なセキュリティ対策で回避可能です。セキュリティの高いOSは、ファームウェアが妥協することはあり得ない/不可能であるという信頼できるソース(たとえば、読み取り専用のリムーバブルディスク)に対してシステムファイルのチェックサムをチェックしてから、システムのメモリを消去し、すべてを再初期化します。そこにキーロガーを入れるのはかなり難しいです。ファームウェアがVMにカーネルをロードすると、カーネルはさまざまなハードウェア属性に基づいてそれを検出できます。
追加された 著者 Emma,
ここではデスクトップ/ラップトップコンピュータ(そして多分モバイルデバイス)について話していたと思いました。ファームウェアはOSを起動するのに使われていました。このようなシステムではファームウェアはOSの起動にのみ使用され、その後OSは多くのことを再初期化するため、ファームウェアがOSに悪意のあるものを植えることは困難です。
追加された 著者 Emma,
比較CISCOのジェットプラウ。攻撃ベクトルが組み込まれていて、証明されていて、まったく簡単なものである場合、どのようにしてその可能性が横ばいになると言えるでしょうか。たとえそれが本当であったとしても、「ファームウェアが(もしあれば)起動を超えて使用されることはめったにない」(可能であればネットワーク上の場所から)場合、どうすればそれが役立つでしょうか。
追加された 著者 Bobas_Pett,
あなたの「ファームウェアはOSを起動するためだけに使われている」と書いてあるのは「ファームウェアはOSを起動するためだけに使われているのではないか」と読むべきです。
追加された 著者 Bobas_Pett,
ファームウェアは起動時にあらゆる種類のバックドアと「ハードウェア抽象化」(read:key logger)をインストールすることができます。ファームウェアはハードディスクとネットワークにアクセスできます。地獄、それはどこからでも新しいカーネルをインストールすることができます。 想定されたものではありません。これだけは正しいことです。他の何かのためにすべての賭けはオフです。あなたはUEFIを所有し、あなたはマシンを所有します。あなたはマシンを所有し、あなたはユーザーを所有します。
追加された 著者 Bobas_Pett,
他の答えを読むと、実際には2つの異なることを意味するかもしれません。あなたは、実際のファームウェアは現代のOSで起動した後にはあまり効果がないと考えています。そのため、マシンが起動して稼働していれば、妥協のないファームウェアの欠陥を使用した攻撃はそれほど多くない可能性があります。私の主張は、Snowdenのリークを考えれば、(CISCOの例のように)多くのデバイスのファームウェアが故意に侵害されている可能性がかなり高いということです。それが大手ベンダーの典型的なビジネスサーバにも影響を及ぼしていたとしても、私は驚かないでしょう。私が中国か韓国であれば、それをやると思います。
追加された 著者 Bobas_Pett,

すでに述べたように、オープンソースはセキュリティと同じではありません。オープンソースは非常に透明で、レビューに役立ちますが、レビューが完了したと仮定しています。また、レビューはあなたの興味を念頭に置いて行われることを前提としています。それはあなたが信頼するレベルまで見直されていますか。

多くの政府機関では、オープンソースコードは実際には信頼されていません。彼らは商用のクローズドソースコードを信頼しています。多くの理由がありますが、ここで特に関連があるのは、商用のクローズドソースコードがその後ろに商用の会社を持っているということです。彼らが対処したい特定のセキュリティ上の懸念がある場合、それを検討するためにあなた自身の専門家を雇うよりも、懸念を解決するために会社と協力する方が簡単な場合があります。その一方で、オープンソース製品を製造している会社はないので、あなたの特定の問題を見るためにオープンソースコードを見ているレビュアーの一団を納得させることは非常に難しいかもしれません。攻撃者が意図的にバックドアを作成して、任意のユーザーをターゲットとするよりも自分をターゲットにした場合のほうが、オープンソースに潜入するのがはるかに簡単であり、しばしば見直されないことがわかりました。バックドアが彼らの顧客を傷つけることを許すことによって、彼らの自由時間にオープンソースを書くプログラマーよりも多くのことを失うことがあります。

0
追加された

BIOSソフトウェアの最近の複雑さ(すなわち、それが攻撃に対して脆弱であること)は、この分野の歴史に関連して新たな発展であることに留意してください。このため、BIOSおよびファームウェアソフトウェアに対する総合的な脅威評価はほとんどありません。安全な状況を実現するには、オープンソースでもクローズソースでも安全なファームウェアと安全なOSの両方を使用する必要があります。安全なクローズドソースのBIOSと安全なオープンソースのOSを使用することは、完全に合理的な選択肢です。

0
追加された