¿Es la seguridad una amenaza menor en el desarrollo integrado en comparación con el desarrollo web?

Siendo de un entorno de EDA, tengo una idea justa del desarrollo integrado.

En el desarrollo web, trabajamos en la capa de aplicación, donde el nivel de abstracción es muy alto. Mientras diseñaba la aplicación para el iPhone como en su caso, las API proporcionadas por Apple se habrían ocupado de todas esas cosas.

En caso de incrustación, trabaja directamente en la capa física donde los recursos son limitados. Además de la seguridad, se genera mucho estrés en la gestión de la memoria. Y si trabaja en los sistemas embebidos, tendrá la oportunidad de escribir tales aplicaciones, aunque en un código grande tales cosas se habrían solucionado mediante funciones y clases.

No, en absoluto.

La seguridad es una amenaza mucho mayor en los dispositivos integrados. He aquí por qué, a menos que esos dispositivos no tengan conectividad hacia o desde un dispositivo conectado a Internet, (estas son las excepciones, y personalmente nunca he visto uno), entonces los dispositivos con políticas de cifrado o autorización débiles (o ninguno, generalmente ninguno) será el objetivo del malware malicioso casi al instante. No importa cuán poco importante sea el dispositivo, o qué datos contenga, es una fruta fácil de entender. Como tal, es uno de los MEJORES objetivos absolutos para un hacker. ¿Cortafuegos conectado a Internet que recibe actualizaciones en vivo de un servidor de políticas suministrado por el fabricante de forma regular? Esos son difíciles, y la gente sabe asegurarlos.

¿Cámara con una conexión USB que puedes piratear desde Ann en la computadora de contabilidad pasando a través de un firewall interno (mucho más débil) y luego pasando por un servidor de sistemas de video que no se ha actualizado con parches de fabricantes en 3 años? Asumiré ese desafío cada vez, y si crees que no puedo sacar nada bueno de eso, te recuerdo que puedo ver cuando la secretaria que sabe no dar la contraseña ha dejado su escritorio. Sé cuando el jefe deja el trabajo. Puedo ver personas escribiendo sus contraseñas (tal vez). Puedo ver las fotos de las personas y si las cámaras son lo suficientemente buenas, puedo leer la publicación que anota en sus monitores (ya sabes quién eres). También puedo saber cuándo la gente va a almorzar, quién va en grupos y quién puede poner una memoria USB que “encuentran” en algún lugar de la computadora.

Por último, para divertirme realmente, puedo romper deliberadamente la computadora de Ann el día antes de que se tenga que hacer la nómina, hacer que el niño local descienda y echarle un vistazo (todos quieren que se les pague) y escribir la contraseña de la cuenta de administrador sin pensando en las consecuencias. A partir de ahí, bueno … bien podría ser accionista. Es digno de mención, en realidad nunca he hecho ninguna de estas cosas, pero, oh, Dios, las he visto hacer.

Puede decir que esto es una consecuencia de la inseguridad de la computadora original, tiene toda la razón, pero es mucho más difícil para mí elevar mis privilegios en un escritorio o dispositivo bien protegido que hacerlo con un programa desde un USB o dispositivo portátil en red o dispositivo que omite la capa de confianza en virtud de lo que es.