Tachtig Sony ip-camera-modellen bevatten debugging backdoor

Is een backdoor wel ter goeder trouw.
Van een bedrijf als sony mag je toch verwachten dat ze weten dat een backdoor een backdoor is en dat die altijd misbruikt kan worden. Ik weet dan ook niet of je echt over ter goeder trouw kan spreken als je een backdoor inbouwt.

De term die je zoekt is "nalatig".
Zolang ze niet nadrukkelijk het doel hadden om misbruik te maken van die backdoor kun niet zeggen dat ze niet ter goeder trouw waren. Net zoals een dronkenlap die een ongeluk veroorzaakt niet het doel had om mensen te kwetsen.

Dat een bedrijf van het formaat van Sony dit soort fouten maakt wijst op een enorm gebrek aan toezicht en controle. Voorgaande zin is een beetje misleidend want het suggereert dat Sony het slechter doet dan de rest, in mijn ervaring is het overal in de IT een puinhoop.
IT is moeilijk en IT-beveiliging al helemaal. Het is vaak meer kunst dan wetenschap. In de IT is het haast niet mogelijk om van te voren uit te rekenen of iets veilig is met behulp van simulaties zoals dat in veel ander vakgebieden gebeurt.
Van de andere kant zijn er een hoop dingen die je wel kan doen (zoals controleren welke accounts er op een systeem aanwezig zijn en waar ze voor dienen) die ook nagelaten lijken te zijn. Als je het niet eens probeert dan gaat het zeker niet goed.

Dat alles is geen excuus, bedrijven (of winkels) blijven verantwoordelijk voor de spullen die ze verkopen. Als iets niet veilig en betaalbaar kan dan moet je het maar gewoon niet doen. De HEMA verkoopt geen maanraketten ook al zouden er best klanten voor zijn. Zo'n project kun je gewoon niet betalen van een consumentenbudget.

In de IT wordt nooit iemand afgerekend op een onveilig product. Vaak is het niet eens mogelijk om te klagen, de fabrikanten en winkeliers wijzen alle verantwoordelijkheid af en/of verschuilen zich achter schimmige voorwaarden. Daarbij kun je van te voren haast niet beoordelen of iets veilig is. Een goede audit kost al snel meer dan het product waard is, zeker aan de onderkant van de markt.

Meestal is het kopen van een IT-product dus een grote gok, als klant kun je niet voorspellen wat het gaat worden. Als je niet kan oordelen op grond van kwaliteit dan moet je wel oordelen op grond van prijs. De IT is daardoor een grote Action aanbiedingenbak. Kwaliteit doet er niet toe, alles is wegwerp. Als het niet goed is dan koop je morgen een nieuwe. Als A-merken (zoals Sony) geen kwaliteit leveren gaat niemand nog de meerprijs betalen.

Onveiligheid moet geld gaan kosten. Stel dat dit incident nu een boete van 1 miljard dollar zou opleveren dan weet ik zeker dat Sony morgen 2 miljard dollar uitgeeft om het proces te verbeteren zodat ze niet nog een keer zo'n boete hoeven te betalen.


Ik denk dat de industrie moet investeren in betrouwbare basiscomponten. Te vaak wordt het wiel opnieuw uitgevonden en te vaak worden hele systeem van scratch gebouwd of samengesteld uit onbetrouwbare componten. De IT is zo groot en complex dat je onmogelijk alles wat je gebruikt kan testen. Je moet kunnen vertrouwen op betrouwbare componenten zodat je alleen de nieuwe ontwikkelingen hoeft te testen. Het schiet niet op als je voor iedere verbinding een nieuwe schroef ontwerpt die apart getest moet worden.
We stapelen onbetrouwbare componten op onbetrouwbare componenten en niemand bekommert zich om de kwaliteit. Natuurlijk gaat dat fout.