ยินดีต้อนรับ สายตายาว– ที่ที่เราตรวจสอบข่าวประจำสัปดาห์และแยกย่อยออกเป็นแกนกลาง มาทำงานกันเถอะ สิ่งที่สำคัญจริงๆ.
สัปดาห์นี้: ฐานข้อมูล NOTAM ของ FAA กำลังถูกทำลาย และ Threema แสดงให้เห็นว่าเหตุใดการเข้ารหัส DIY จึงไม่ดี
1. 1/11 Groundstop: ตัวเร่งของการเปลี่ยนแปลง?
ครั้งแรกในสัปดาห์นี้: ทำไมถึงเป็นเช่นนั้น เครื่องบินถูกลงจอดเมื่อวานนี้ รายงานเบื้องต้นระบุว่าไฟล์ฐานข้อมูลเสียหายและเวอร์ชันในระบบเฟลโอเวอร์เสียหาย เสียหายด้วย.
บทวิเคราะห์: หนี้ทางเทคนิคระบบเครื่องบินขัดข้อง
ระบบการเผยแพร่ NOTAM ที่มีอายุหลายสิบปีของ FAA ช่วยแก้ปัญหาที่ค่อนข้างง่ายที่กำหนดโดยมาตรฐานในปัจจุบัน อย่างไรก็ตาม มันเป็นภารกิจที่สำคัญ นี่อาจอธิบายได้ว่าทำไม FAA ไม่กล้าปรับปรุงให้ทันสมัย: The Company – เข้าใจได้ –ไม่ชอบความเสี่ยงสูง.
Gregory Wallace และ Pete Muntean: ไฟล์เสียหายทำให้ FAA หยุดทำงาน
“ตัวอย่างของโครงสร้างพื้นฐานที่ล้าสมัย”
เจ้าหน้าที่ยังคงพยายามหาสาเหตุที่ทำให้ระบบของ Federal Aviation Administration หยุดทำงานเมื่อวันพุธ แต่พวกเขาตรวจสอบย้อนกลับไปยังไฟล์ที่เสียหาย: … “งานเบื้องต้นของเราติดตามการหยุดทำงานไปยังไฟล์ฐานข้อมูลที่เสียหาย ขณะนี้ยังไม่มีหลักฐานของ การโจมตีทางไซเบอร์ ไม่มีหลักฐาน”
…
[A] แหล่งข่าวที่คุ้นเคยกับการดำเนินงานของ Federal Aviation Administration [said that] เมื่อเจ้าหน้าที่ควบคุมการจราจรทางอากาศตระหนักว่าคอมพิวเตอร์มีปัญหาในช่วงดึกของวันอังคาร พวกเขาจึงวางแผนที่จะรีบูตระบบในเช้าวันพุธ ซึ่งจะทำให้การเดินทางทางอากาศหยุดชะงักน้อยที่สุด [This was] เป็นการตัดสินใจที่สำคัญ เพราะตามแหล่งที่มา การรีบูตอาจใช้เวลาประมาณ 90 นาที … ตามแหล่งที่มา ระบบ “กลับมา แต่ข้อมูลที่เกี่ยวข้องที่จำเป็นสำหรับการบินที่ปลอดภัยยังไม่หมดไป”
…
นั่นคือตอนที่ FAA ออกอากาศสถานีภาคพื้นดินทั่วประเทศประมาณ 7:30 น. ET … แหล่งข่าวกล่าวว่าระบบ NOTAM เป็นตัวอย่างของการเสื่อมสภาพของโครงสร้างพื้นฐานเนื่องจากการยกเครื่อง: … “ฉันเดาว่าพวกเขากำลังจะได้รับเงินเพื่อดำเนินการตอนนี้”
อย่างไรก็ตาม นี่เป็นปฏิกิริยาที่มากเกินไป ความเย่อหยิ่ง ขอแตกต่าง:
คุณ … คิดว่ามันคล้ายกับเว็บแอปพลิเคชันในแง่ของมูลค่าหรือการดำเนินการหรือไม่? ไม่ใช่เขา. เป็นระบบที่มีความสำคัญต่อความปลอดภัยซึ่งจำเป็นต้องมีแนวทางปฏิบัติและการพัฒนาที่เข้มงวดมาก
…
ความคิดที่ว่า FAA ไม่ควรไม่ชอบความเสี่ยงในระบบนี้นั้นไร้สาระอย่างยิ่ง ความซับซ้อนของการใช้น่านฟ้าของทั้งประเทศเป็นสิ่งที่ไม่ควรมองข้าม และความสำคัญของระบบ NOTAM ก็ไม่ควรมองข้าม … ชีวิตนับแสนเป็นเดิมพันทุกวัน
ยังไม่ชัดเจนว่าปัญหาคืออะไร เซวิโอโซ โทรศัพท์ฟังเกม:
ไม่ใช่เรื่อง “เสียหาย” ที่จะป้อนสิ่งผิดพลาดลงในฐานข้อมูลโดยใช้ระบบมาตรฐานบางอย่างที่ FAA จะใช้เพื่อทำสิ่งนี้ การดาวน์โหลดหรือถ่ายโอนข้อมูลหรือไฟล์และขัดจังหวะการถ่ายโอนนี้และการสูญเสียหรือเปลี่ยนแปลงข้อมูลถือเป็น “ความเสียหาย” ในทางเทคนิค
…
บางครั้งเราหลงทางจากคำอธิบายที่ผู้เชี่ยวชาญด้านไอทีให้กับผู้บังคับบัญชามากเกินไป ฉันแน่ใจว่าคำถามจะค่อนข้างชัดเจนสำหรับเราจากมุมมองทางเทคนิค แต่การตอบกลับสาธารณะเช่น “ไฟล์เสียหาย” นั้นไร้สาระโดยสิ้นเชิง
ระบบ NOTAM นี้มีลักษณะอย่างไร? คนขี้ขลาดนิรนามอีกคน ทำการเดาที่มีการศึกษา:
ฉันจะเดิมพันคุณด้วยเมนเฟรม IBM ยุค 2000 ที่เลียนแบบเมนเฟรม IBM ในยุค 80 ที่ใช้ระบบปฏิบัติการ IBM เมนเฟรมจากยุค 60 ด้วยแอปพลิเคชันที่เขียนใน System360 Meeting
หนี้ทางเทคนิคจ่ายอย่างไร? JCM9 เทียนเงี่ยน:
ระบบ NOTAM เป็นสิ่งที่วิศวกรเก่งๆ จำนวนมากสามารถสร้างจากศูนย์ได้อย่างง่ายดาย… ในเวลาอันสั้น โดยทั่วไปจะเป็นฐานข้อมูลของโพสต์ที่จัดหมวดหมู่ด้วย API บางตัวเพื่อโพสต์รายการและโพสต์กลับเมื่อมีการร้องขอ
…
นี่ไม่ได้พูดถึงคนจน [FAA] วิศวกร (ซึ่งจากประสบการณ์ของฉันอาจจะดีมาก) แต่มีวัฒนธรรมของการจัดการและนวัตกรรม … พวกเขาเคยพูดว่าพวกเขา “หลีกเลี่ยงความเสี่ยง” แต่ตามที่ได้เน้นย้ำไปเมื่อวานนี้ แนวทางที่ไม่ดีของพวกเขาต่อประเด็นนี้ทำให้เกิดความเสี่ยงมากมาย
อย่างไรก็ตาม การเปลี่ยนแปลงก็ดีเท่ากับการพักผ่อน แบรนดอน วิกลิอาโรโล:
ฐานข้อมูลที่เสียหายทำให้เกิดการเปลี่ยนแปลงที่ดีจากผู้ต้องสงสัยทั่วไป: DNS หรือ BGP
2. Threema Messenger ทำผิดพลาดมากมาย
ในทางกลับกัน การตอบสนองของสวิสต่อ Sign และ WhatsApp พบว่าเต็มไปด้วยข้อบกพร่องในการเข้ารหัสแบบ end-to-end การเข้ารหัสเป็นเรื่องยาก ไม่
การวิเคราะห์: อย่าเข้ารหัส DIY
พิสูจน์ว่าการเข้ารหัสของคุณเองไม่ดี – ราวกับว่าจำเป็นต้องมีการพิสูจน์ ใช้ไลบรารี่มาตรฐานเหมือนที่ Threema ทำ แต่เรียนรู้การใช้งานอย่างถูกต้อง หรือคุณสามารถตกหลุมพรางที่มีชื่อเสียงที่ Messers อธิบายได้อย่างง่ายดาย ดันนิ่งและครูเกอร์.
เจสสิก้า ลียงส์ ฮาร์ดคาสเซิล: แอพส่งข้อความ Threema เต็มไปด้วยช่องโหว่
“โปรโตคอลการเข้ารหัสลับเฉพาะ”
แอปส่งข้อความที่ปลอดภัยตามที่คาดคะเนว่าเป็นที่ชื่นชอบของรัฐบาลสวิสและกองทัพถูกบั๊กรบกวน—อาจเป็นเวลานาน—ก่อนที่จะมีการตรวจสอบ [the] ETH Zurich … ใช้กลุ่มการเข้ารหัส … หากถูกโจมตี ช่องโหว่นี้อาจทำให้ผู้ไม่ประสงค์ดีสามารถโคลนบัญชีและอ่านข้อความของพวกเขา ตลอดจนขโมยคีย์ส่วนตัวและที่อยู่ติดต่อ และแม้แต่สร้างเนื้อหาที่ประนีประนอมเพื่อแบล็กเมล์
…
นักวิจัยสามคน – ศาสตราจารย์ด้านวิทยาการคอมพิวเตอร์ Kenneth Paterson และนักศึกษาระดับปริญญาเอก Matteo Scarlata และ Kien Tuong Truong -“[We] เราเชื่อว่าช่องโหว่ด้านความปลอดภัยทั้งหมดที่เราค้นพบนั้นได้รับการบรรเทาลงด้วยแพตช์ล่าสุดของ Threema” [But] การค้นพบของพวกเขายังคงเน้นย้ำถึงความยากลำบากในการประเมิน “การอ้างสิทธิ์ด้านความปลอดภัยที่นักพัฒนาแอปพลิเคชันทำขึ้นตามโปรโตคอลการเข้ารหัสแบบ bespoke”
ฉันได้ยิน บึงมองจากที่นี่:
ตัวอย่างเช่น คนที่รู้ว่ากำลังทำอะไร เช่น ทีมที่พัฒนา Sign จะนำส่วนประกอบและโปรโตคอลที่ผ่านการทดสอบเหล่านี้มารวมเข้าด้วยกันด้วยวิธีที่เข้าใจดีและมีเอกสารครบถ้วน บางครั้ง คนเหล่านี้บางคนพบปัญหาเฉพาะกับโปรโตคอลที่มีอยู่ จากนั้นจึงใช้ความพยายามอย่างยิ่งยวดในการคิดค้นโปรโตคอลใหม่และดีกว่าที่ผ่านการทดสอบทั้งหมดนั้น
…
คนที่พูดว่า “ฉันจะไปสร้างการเข้ารหัสใหม่ทั้งหมดที่ไม่แตกหักตั้งแต่เริ่มต้น และเรียกมันว่าชุดนอนของแมว แล้วใส่มันลงใน App Retailer โดยตรง มันจะประหยัดเงินฉันได้หนึ่งล้านยูโร” มักจะมีความรู้เพียงพอ ที่จะทำเช่นนั้น ขุดตัวเองลงไปในหลุมขนาดใหญ่และดึงคนอีกสองสามคนลงไปด้วย
โอ้ แต่ไม่เป็นไร Threema GmbH กล่าว เพราะพวกเขาได้แทนที่โค้ดเบสเก่าที่พังแล้วด้วยโค้ดใหม่ที่เงางาม อย่างเป็นธรรมชาติ คุณ/aponce ไม่ประทับใจ:
สิ่งที่ฉันกังวลคือ Threema ใช้ไลบรารีการเข้ารหัสเสียงที่ผ่านการทดสอบอย่างดีเพื่อสร้างโปรโตคอล แต่พวกเขาไม่สามารถรวบรวมชิ้นส่วนต่างๆ เข้าด้วยกันได้อย่างถูกต้อง … ตอนนี้โปรโตคอลแพะภูเขาได้เข้ามาแทนที่โปรโตคอลเก่าแล้ว เราจะรู้ได้อย่างไรว่าโปรโตคอลใหม่นี้ไม่ได้รับผลกระทบจากข้อกังวลด้านความปลอดภัยที่คล้ายคลึงกัน
นิทานสอนใจ:
อย่าตัดสินในสิ่งที่ชีวิตมีให้ – ทำให้ชีวิตดีขึ้นและสร้างบางสิ่ง
-แอชตันคุชเชอร์
คุณกำลังอ่าน สายตายาว โดย ริชชี่ เจนนิงส์. คุณสามารถติดต่อเขาได้ @RiCHi หรือ [email protected].
รูปภาพ: อาเนเต ลูซีซา (เกิน ยกเลิกการสาด; แบนและเกรียน)
#FAA #Floor #หยดเนองจากหนทางเทคนค #ทำมนเอง #อยาสราง #Crypto
