Vlákno názorů k článku Kardiostimulátory mají tisíce chyb, kupte ho na eBay a zkuste hacknout od Vilca - Neco podobného se děje i v ostatních oborech...

Neco podobného se děje i v ostatních oborech mimo IT, které se snaží zachytit "současné" technologie.

Potkávám se v velkými stroji na tlakové lití tekutého kovu nebo následné obrábění a problémy jsou dost podobné. Jen není tak snadné někoho zabít. Přechod komunikace ze sériových linek na ethernet, připojování strojů na LAN po IP je super, ale ty strojařské hlavy to zvládají jen pomalu a obtížně. Jde o uplně jiný svět a přitom stroje navrhují ti samí lidé. Vnitřní komunikace ve stroji by šla, ale propojení se světem, centrální správa strojů, vzdálený servis, ukládání dat po síti... Je možné vidět obdobné problémy, které jsou zmíněné v článku. Vzdělávání je bolestivé.

Předpokládám, že tvůrci strojů pro zdravotnictví jsou na tom úplně stejně. Tím je nehájím, ani neříkám, že je to správně. Jen musí někomu dojít, že kromě "strojařů" musí zaměstnat i jiné profese.

Alias - Programovat a zabezpecit pocitac vie kazdy, vzdelanie je pre lopaty.

@Vilca

Vem si, jak dlouho se hledisko bezpečnosti prosazovalo přímo do IT a zdaleka není vyhráno. Je to čas na víc, tedy peníze na víc a většinou se do toho firmy vrhnou když už jsou příliš velké a mají na to peníze, nebo až se něco stane- např. se podívejme, jak je to reálně s takovou naprosto základní věcí jako ukládání hesel . . . . Částečně v tom pomohly frameworky, ale už to je pořád jenom část. Ano, to nikoho nezabije, ale demonstruje to všeobecný přístup.

Tolik platit nemusíš. Sice školení pro programátory pravda něco stojí (pokud to neudělá někdo ve firmě) a vyžadovat aby dodržovali aspoň základy a letmá kontrola už zas tolik nestojí (třeba aby to musel zkouknout někdo další před nasazením nebo vydáním) a taky se dají občas zaplatit pentesty, třeba před vydáním. To už pravda stojí víc, aspoň ty kvalitní, ale většinou i ty základní a pár pokusů nějakého pentestera ledasco odhalí. Samozřejmě je určující cena produktu, případně norma kterou musí splnit. Pak jsou tu nástroje které se "utopí" v nákladech a nejsou to dramatické náklady, jako třeba firemní normy, coding standard, kontrola, interní automatizované testy na základě předchozích výsledků pentestu a pod. - toto už je ale vyloženě o vůli, dělá to málokdo. Zažil jsem kdysi firmu, kde se tohle začalo zavádět. Ovšem předcházel tomu pěkný průser.

security expert ti nebude programovat aplikace :). Lepší se to, ale pořád je tlak na bezpečnost velice malý hlavně od vedení, měla by to být prostě položka v rozpočtu.

V praxi vidím největší problém v tom, že programátoři mají tendenci se o bezpečnosti hádat, chtějí důkaz, že opravdu jejich postup není bezpečný a pořád rozporují závazná doporučení nebo připomínky. Člověk, aby byl zkušený hacker/cracker, aby dokázal všechny zranitelnosti předvést, vždyť to jde vidět i v řadě místních diskuzí.

Ale to nejsou strojaři. Strojaři stojí za celkovou konstrukcí stroje, ale elektrickou část (jejíž součástí je program) dělají normálně elektroinženýři. A tady je problém. Hodně elektroinženýrů umí programovat. Tak, že výsledek funguje, tak jak má - tedy na oko. V hlubinách kódu bývají strašné věci. A to i těch programátorů, kteří "ten svůj" jednočip už programují mnoho a mnoho let.
Druhá věc je, že si málokdo umí představit (teda z těch, kdo to nezažil), jaký je tlak na cenu sériově vyráběného zařízení. A proč tam nedáte tenhle procesor? Má na sobě polovinu paměti a je pomalejší, nebo mu chybí nějaké vlastnosti, ale je o 3 dolary levnější. 3 dolary krát 100 000 vyrobených kusů je hodně silný argument. Implementujte si nějaké pokročilé věci a používejte nějaké profi knihovny, když vám HW ořezali na kost...

Průmyslové stroje typicky nejsou často stavěny jako sériová výroba a řídí je PLCčka a není tam brutální tlak na jednotkovou cenu. Ale u průmyslových strojů je problém, že průmysl (myšleno ti, kdo stroje provozují a servisují) si zvykl na velmi snadný přístup to konfigurace každého stroje a snadnou komunikaci každého s každým. A požadují to. Starší generace PLCček automaticky povolí komunikaci každému, kdo se připojí na sběrnici. Což je pozůstatek doby, kdy ta sběrnice neopustila bezprostřední blízkost toho stroje. A což je v době ethernetu průšvih. Nové generace PLCček už umožňují řekněme základní věci kolem bezpečnosti, ale jsou to zákazníci, kteří to často odmítají - protože je to pro ně komplikace navíc.

To by mne zajímalo, co je to za firmu. U nás je konstrukce mechanických částí striktně oddělena od konstrukce elektroniky. Ještě jsem nevidel strojaře, který by programoval systém pro CNC (hovořím konkrétně o obráběcích strojích).
Stejně tak mám kamaráda, který se zabývá vývojem lékařských přístroju - o medicíně toho neví moc, ale je velmi dobrý ve svém oboru.
Takže jiné profese jsou využity. Pokud v některých firmách programují čistí inženýři strojaři, pak bych se jim raději vyhnul.
Bohužel dneska programuje kdekdo a problém bude v tom, že dnes se programuje ve průmyslových odvětvích na rychlost a kvantitu. Je těžké najít dobře napsaný program i v neprůmyslových odvětvích. Vidíme to všude kolem nás dnes a denně. Tyto problémy se nevyhýbají ani armádě, kde je financí na správný vývoj dost.
Nevím, zda šlo ve Vašem případě skutečně o strojařské hlavy, ale je to asi jedno, protože to nedávají ani hlavy pomazané (třeba matfyzácké).