web-dev-qa-db-ja.com

ソフトウェアでのデバッグバックドアの普及に関する信頼できる情報はありますか?

開発者は、出荷するソフトウェアのデバッグ機能をオフにするのを忘れることがあります。 CWE-489

ここ と言われています

ホームルーターの約20%にはバックドアがあり、産業用制御コンピューターの50%にはバックドアがあります。

しかし、この主張は裏付けられていません。コード内でのこれらのバックドアの蔓延について、他に利用可能な情報や調査が行われていますか?

3
Jacques

プロプライエタリデバイスまたはSCADA /産業用制御システムにおけるバックドアの普及に関して、信頼できる科学的研究があるとは思いません。 JSTORを検索しても、何も興味深い結果は得られません(ただし、他の誰かが再確認したい場合は、何か見つけたら教えてください!)したがって、参照する番号は単なる推測または事例証拠に基づいている可能性があります。

とはいえ、この数字に正当な理由がないとは思いません。クローズドソース製品を使用する場合、バックドアのリスクが常にあります。記事が指摘しているように、多くは意図的ではなく、開発者がアクセス制御を処理せずにシステムをすばやくテストしたい結果です。

ただし、この記事の主なテーマは、国際的な諜報機関が、他国で重要な役割を果たすことを目的とした製品、この場合は米国での使用を目的とした中国のSCADAシステムにバックドアを挿入することと関係があります。そのような場合、そのようなバックドアが設置されている可能性があります想定。たとえば、米国がボーイング航空機を中国に出荷するとき、それらはシャーシ全体に多数の冗長なバグを抱えていることで有名です。

ですから、私の簡単な答えは、クローズドソース製品のバックドアについては決して確信が持てないということです。ホームルーターでは、これらの懸念事項を共有する場合は、オープンソースファームウェアにフラッシュするのが最適な場合があります。しかし、デバイスがバックドアされる割合を科学的に定量化することに関しては、それはまだ行われておらず、統計的に有意な方法で行うのは難しいと思います。

1
Herringbone Cat