web-dev-qa-db-ja.com

デバイスベンダーが企業の評判を損なう可能性があるのに、なぜバックドアを組み込むのですか?

タイトルにあるように、ルーター開発者などの大企業が、企業の評判を完全に破壊し、重大なセキュリティリスクを引き起こす可能性があるのに、なぜ意図的にバックドアを製品に組み込んでいるのでしょうか。

私は現在、スウェーデンとノルウェーに住んでおり、バックドアの構築はどの機関や政府(AFAIK)によっても強制されていないため、実際にそれを行う意味がわかりません。

2
Max

バックドアが製品に侵入する方法はいくつかあります。

  1. 会社は、会社の本社がある国の法律によって強制されています。スウェーデンまたはノルウェーに住んでいる場合、使用する電子デバイスのほとんどは、おそらく 中国 からインポートされます(コンピューターに接続されているデバイスを探しましたが、ではありませんでした) 「MadeinChina」ステッカーがあります-見つかりませんでした)使用するソフトウェアのほとんどは 米国 からインポートされます(-のプログラマーの助けを借りて) インド )。企業が地方自治体から輸出用のデバイスをバックドアするように強制された場合、製品が国を離れるときにバックドアを取り外したり、小売業者に通知したりすることはありません。それらをバックドアに保つことがこれの全体的な目的であり、現地の法律は通常、企業がバックドアを開示することを禁じています。この禁止は、関係企業のPR救済システムとしても機能します。捕まったとき、彼らは選択の余地がなかったと言うことができ、彼らの政府にすべての責任を負わせることができます。
  2. 会社の経営陣はバックドアを認識していません。これは、誤って(正直なセキュリティバグ)、または第三者によって賄賂、恐喝、その他の方法で操作された従業員によって意図的に導入されたか、自分の知っているだけの製品にバックドアを設けることが個人的な利益になると考えたものです。実際には、偶発的なバックドアの可能性がはるかに高くなります(Hanlon's Razor: "愚かさによって適切に説明できる悪意に帰することはありません")。
  3. 会社の経営陣はバックドアを認識しており、それを正当な機能と見なしています。考えられる状況は、カスタマーサポートリクエストの処理を容易にするはずのリモート管理インターフェイスです。このような機能は、素人の観点からは本当に便利なようです。ルーターが機能しないと想像してみてください。サポート番号に電話し、シリアル番号を読み取るだけで、コンピューターで難しい作業をしなくても、リモートでルーターを修正できます。いいですね。残念ながら、管理者は、このようなものを安全でありながらサポートスタッフやエンドユーザーにとって便利な方法で実装することがいかに難しいかを理解するための技術的な専門知識を欠いています。一部の企業では、管理者は主に、処理されたカスタマーサポート要求ごとの議事録を最小限に抑え、期限を守ることに関心があるため、セキュリティの考慮事項の優先度が低くなることがよくあります。
6
Philipp