Začíná mě trochu štvát ten hon za senzacemi v cybersecurity - najdete zranitelnost, co reálně není zranitelnost, uděláte z toho haló (a reklamu na svojí společnost) a vaši kolegové z oboru mají práci navíc s uváděním věcí na pravou míru.

Jinými slovy, i bez použití nedokumentovaných rozhraní v ESP32 máte problém, když se vám do něj někdo dostane jako root nebo fyzicky - ty rozhraní vám v tu chvíli jen umožní trochu věcí navíc s rádiovýma rozhraníma (což umí půlka síťovek na trhu).

Zranitelnost a/nebo backdoor by to byl ve chvíli, kdy by to bylo exploitovatelné vzdáleně, umožnilo by to zvýšení oprávnění z obyčejného uživatele atd. - a zatím jsem nikde nečetla, že by to ty nedokumentovaný části ESP32 nějak umožňovaly.

@kayla_eilhart Tento konkrétní případ nehodnotím. Nemám dost informací, ale obecně z těch CVE, kde je k exploitu potřeba root nebo fyzický přístup, rostu. Je to asi jako by někdo hlásil, že na záchodě mám zevnitř otevíratelné okénko a abych si ho otevřel, tak potřebuju klíče od hlavních dveří do domu.

@sesivany Přesně na to narážím.

@kayla_eilhart Přijde mi, že už se to taky pomalu mění, ale tak 2-3 roky nazpátek k tomu zákazníci přistupovali úplně mechanicky: komponenta má určitý počet zranitelností a čím víc opraveno, tím automaticky lépe. Těžce se jim vysvětluje, že opravy některých CVE v podporovaných nasazeních k žádnému zvýšení bezpečnosti nepovedou a že je lepší věnovat energii těm opravdu podstatným a ne ji rozmělňovat v opravách těch nerelevantních jen kvůli tomu, že to dobře vypadá v tabulkách.

@sesivany @kayla_eilhart Celý systém CVE je naprosto dojebaný a vůbec neplní původní účel. Ten posun já nějak moc nevidím, pořád mi to přijde, že je to spíše o zelených fajfkách, a rozumní jsou jenom ti zákazníci, kteří už teď ví, co dělají.

@ondrej @kayla_eilhart je to vnímání ze strany vývojářů. Ale je možné, že to je víc naše práce než posun u zákazníků. Před 2-3 lety se po nad chtělo opravovat vše. Zákazník si udělal security scan, zjistil, že jsou neopravená CVE a omlátil nám to o hlavu. Dnes přijde CVE a náš security response team tomu dá náš vlastní rating podle toho, jak závažné to je v našich produktech. A až na základě toho konáme nebo nekonáme. Už ty diskuse se zákazníky nemusíme alespoň vést my.

@sesivany @kayla_eilhart Holt nejsou cílovka lidi ze security, ale management, který vyděsím představou zločinců okrádajících firmu skrz záchodové okno. Oni už svoje podřízené donutí použít moje řešení. Jistým způsobem je takové hlášení zranitelnosti samo o sobě exploit 🙃

@shine @sesivany @kayla_eilhart Trochu paradoxně nedávno v tomhle významně uletěl Linux kernel team, který dostal právo přidělovat CWE a dával tam kdeco s odůvodněním že když je to chyba v kernelu tak je vždy potenciálně bezpečnostní. Už jsem nezachytil jak to dopadlo.

@kayla_eilhart To uz je od casu antiviru. Antivirove spolecnosti byly jen o malicko solidnejsi nez autori viru. Ted se to opakuje s "bezpecnosti". Proste je skvele lidi vystrasit neexisujicim nebezpecim, nebo zvelicenim existujiciho, a pak jim neco prodat. :-(.