"Suljettu koodi on tietoturvauhka"

Onhan se käynyt selville että laitteiden suljetun firmwaren kautta mm. mobiililaitteiden rtos-reaaliaikakäyttöjärjestelmää käskytetään ulkoa ja vakoillaan laitetta radioaaltomodeemipiirin kautta mm. 3G piiri puhelimissa, tableteissa, Intel Core i3/i5/i7 suorittimissa. Sama juttu laajakaistamodeemien kanssa, niiden firmwaresta on paljastunut takaovia. Kuten myös verkkotulostinten firmwaresta.
On kai aika selvää että myös ATI:n, NVIDIA:n, REALTEK:in ja erilaisten verkkokorttien sekä bluetooth-korttien firmwaressa ja piireissä on takaovet, joiden kautta verkkovakoilu ja järjestelmiin tunkeutuminen sujuu.

Sekä kaiken firmwaren että piirien dokumentoinnin ja speksien pitäisi olla julkista.

Kaikki laitteet joihin on mahdollista asentaa firmware-päivitys ilman että se henkilö joka firmwarea on päivittämässä kääntää laitteessa olevan fyysisen kytkimen asentoon joka sallii päivityksen, ovat tietototurvauhka. Tämä on ollut tiedossa jo (ainakin) 2000 luvun vaihteesta lähtien, tuolloin erityisen yleisinä kohteina olivat sisäiset CDr laitteet. Mutta edelleen vain harvoissa laitteissa on päivitystä kontrolloiva kytkin.

USB-muistitikut ym. Flash-muistit ja niiden firmware ovat keino levittää haitakkeita ja vakoilutyökaluja koneesta toiselle, jopa niihin joissa ei ole verkkoyhteyksiä.
CD-R, CD-RW, DVD-R ja DVD-RW-levyt ovat kohtuu turvallinen tapa siirtää tietoa koneesta toiselle. Niille ei saa ujutettua firmwaretason vakoilutyökaluja jotka olisivat piilossa käyttöjärjestelmän tiedostonäkymistä, ellei koko CD/DVD-aihiota ole erikseen rakennettu tätä varten.

muistikorteista tullut hakkerien iskukohde
http://keskustelu.suomi24.fi/node/11957924

Ovatko muistikortit kyberkonnien seuraava iskukohde?
http://www.digitoday.fi/tietoturva/2013/12/30/ovatko-muistikortit-kyberkonnien-seuraava-iskukohde/201317937/66?rss=6

"USB-muititikuissa, SD-muisteissa ja muissa Flash-muisteissa on todellakin tietoturvauhkia.

Esim. helppo tapa saada tartunta ja hyökkäystyökalut koneelle on ajaa siinä tuntematonta USB-muistitikkua. Hyökkäys käyttää muititikuissa ja niiden ohjainohjelmistoissa/firmwaressa olevia tietoturvaheikkouksia/reikiä ja ajaa koneelle automaattisesti hyökkäystyökalut.

Kone otetaan automaattisesti haltuun ja haitakkeet piiloutuvat käyttöjärjestelmältä ja käyttäjältä sekä ottavat yhteyttä verkkoon verkkokortin firmwarea muokkaamalla ja toimimalla roottina. Kittejä löytyy spesifisoituina tietylle kokoonpanolle tai yleistyökalupakettina.

Riittää siis todella että USB-tikku tai SD-muistikortti ym. Flash-muisti liitetään koneseen ja laiteajurit ajetaan automaattisesti jotta muitia voi käyttää.

Ainut keino suojautua näiltä hyökkäyksiltä olisi se että koko Flash-muistin sisältö olisi julkisesti dokumentoitu pienintä yksityiskohtaa myöden, ja löytyisi työkalut jotka seuraavat raakadataa.

Toinen helpompi keino suojautua on polttaa kaikki muistitikulla oleva data ns. turvattomalla koneella kertapoltettavalle CD/DVD-R levylle ja käyttää tät levyä omassa koneessa. CD/DVD-R-levyt eivät mahdollista piilotettua dataa, eli niiden mihinkään piilotettuihin lohkoihin ei voi ajaa haittakoodia.

USB-muistikut, SD-muistit ym. Flash-muistit ovat vakava tietoturvariski. Myös kiintolevyjen firmwareen on helppo liittää samantyyliset automaattiset hyökkäystyökalut jotka saadaan piiloutumaan käyttöjärjestelmältä ja käyttäjiltä."

Suljetun koodin ostajan ongelma lapsenomainen usko siihen että toimittaja on ns. "hyvisten" puolella.