Vlákno názorů k článku Vedl jsem stovky pohovorů s ajťáky. Čím dál více z nich jsou falešné osoby z podvodných „farem“ z Asie od xls - Článek myslím míchá jablka s hruškami. Jedna věc...

Článek myslím míchá jablka s hruškami. Jedna věc je falešný vývojář, kterého je vhodné odhalit. Druhá věc je nábor lidí, kteří mají přístup k vývoji systémů třeba bank. Tam asi nebude cizí tajná služba cpát virtuálního Inda, ale nabídne (polo)skutečného vývojáře, který pak může případně nějakou část dat pouštět dál.

Jako vtipné mi přijde kontrolovat IP a podobné věci, když i regulérní vývojář může pracovat z druhého konce zeměkoule, nebo si zapnout virtuální přístup z jakékoli země.

Nj. ale k vývoji u bank má přístup kdekdo a tihle falešní se hlásí jak přímo do našich bank, tak i k dodavatelům našich bank. Naše banky zatím full remote nenabízí nijak ve velkém, ale jejich dodavatelé, které tam mají také přístup, to nabízí jak nic. Setkal jsem se ale už u jedné naší velké banky, že nabízeli full remote s tím, že pošlou firemní notebook poštou, je to už pár let, ale přesně tenhle přístup je dnes špatný.

S tou IP adresou to není tak snadné. Poznáš, když ti IP adresa kontraktora jde pře AWS servery. Poznáš, když se ti s každým sezením mění ISP, cestuje mezi hostingy. V článku se nepsalo, že máš kontrolovat jen IP, ale i metadata spojení.

Dostat k nám poloskutečného vývojáře není tak snadné, nemůžeš to udělat ve velkém, může to udělat v kritických případech, šance na odhalení může být vysoká.

Může si sice zapnout přístup z jakékoliv země, ale dříve nebo později udělá chybu. Přesně takové chyby pak pomohli objasnit původ Jia Tan z XZ útoku. V tomto případě až v post-mortem. Ale dá se z toho udělat i včasné varování.

A řekne te to taky těm asiatům , že to dělají tak špatně ?

Nejde o data jako taková, ale o backdoory

Máte pravdu regulérní vývojář ano , ale to z pohledu nejen banky , ten co je běžně na dovolené nebo "doma" v ČLR nebo Rusku není regulérní vývojář. Ono red flag je v bydliště na úřadě protože HR nebude řešit jestli dotyčný bydlí v jurtě v zahrádkářské kolonii , nebo je v exekuci....

Stejně je dobrý když se jeho jméno neobjevuje v seznamech členu některých politických strana nebo organizací.

Tohle je reálný svět a tím "ideály z letenské kavarny" nejsou.