Todo está lleno de errores. Hardware, software, firmware, wetware. Todo.
La mayoría de las veces esos errores se encuentran dentro de límites aceptables. Cualquiera que sea la computadora que use, por ejemplo, probablemente tenga entre 5 y 20 actualizaciones de BIOS, dependiendo de su antigüedad. Y para la mayoría de las personas, pueden haber muchas actualizaciones detrás sin problemas, porque los errores corregidos por versiones posteriores no los afectan o no son catastróficos.
A veces, los errores son más graves y deben solucionarse antes de poder enviar / vender algo. Sería un asco fabricar un millón de memorias USB, por ejemplo, y luego ser forzado a tirarlas por pérdida debido a un error que surgió. El fabricante estaría mucho mejor si pudiera compensar el error (y el firmware a menudo puede compensar los problemas de hardware, no solo los problemas de firmware).
Entonces, la regla general es diseñar sistemas que tengan poca capacidad de actualización, incluso si no se espera que el ciclo de vida normal del producto lo requiera.
Porque todo está lleno de errores.
WhiteWinterWolf hace esta pregunta de seguimiento en los comentarios:
En la presentación de Black Hat por Karsten Nohl y Jakob Lell, el
Solución presentada como la más simple y efectiva sería para
bloquee el firmware en la fábrica, bloqueando cualquier firmware
actualizar . Siguiendo tu respuesta, ¿crees que tal posibilidad
Por lo tanto, ¿no sería muy realista "en el mundo real"?
Ahora estamos puramente en territorio de especulación. Aquí está mi opinión :
El bloqueo del firmware es una solución técnica, pero es una solución que solo se incluirá en el extremo inferior (dispositivos baratos, desechables) y en el extremo superior (marketing centrado en la seguridad). El vasto medio continuará enviando dispositivos de escritura porque el caso de negocios se limita al caso de seguridad.
Déjame decirte cómo llegué allí:
El bloqueo del firmware tiene impactos positivos (mayor seguridad) y negativos (imposibilidad de actualizar para corregir problemas como se describe anteriormente).
En el extremo más bajo, donde puede comprar un unidad de disco de 8 GB por $ 2 - la incapacidad para actualizar es un problema menor. Con toda probabilidad, el fabricante es relativamente genérico y no le importará el impacto de PR por tener un dispositivo con errores que no se puede actualizar. Y a ese precio, es más probable que los consumidores lo tiren a la basura y compren algo más que buscar una actualización.
Por lo tanto, el beneficio de seguridad supera el costo del negocio en el extremo inferior. (Si a los fabricantes de gama baja se les puede convencer para que den un paso tan simple es otra pregunta; por definición, les importa menos el consumidor, porque no están creando lealtad a la marca).
En el otro extremo del espectro, hay empresas que se comercializan como proveedores de seguridad antes que nada. IronKey, por ejemplo, vende dispositivos que se borran a sí mismos si se ingresa la contraseña incorrecta demasiadas veces, y que están grabados en epoxi para evitar el acceso físico. Para que ofrezcan la compensación de firmware bloqueado (sin actualizaciones, pero con menos inseguridad) está bien, esa es su propuesta de valor. Sus clientes prefieren deshacerse de los dispositivos costosos en lugar de tener riesgos de seguridad que podrían evitarse.
En cuanto a todos entre esos dos extremos ...
Imagina una presentación que se da alrededor de una sala de juntas. El presentador dice: "Podemos mejorar la seguridad de nuestros clientes frente a un ataque de nicho muy inusual, bloqueando nuestro hardware para que las actualizaciones no sean posibles. Existe la posibilidad de que esto pueda causar altos índices de devolución de productos, publicidad negativa y daños generales". a nuestra marca. Estamos aquí para decidir si nos protegemos a nosotros mismos o a un subconjunto pequeño y desconocido de nuestra base de clientes contra una potencialidad desconocida ".
Van a votar para hacer lo correcto para la empresa, no para el cliente hipotético individual. Y van a seguir enviando cosas que pueden actualizar.
Solo mis 2 centavos (lo cual es lo suficientemente bueno para comprar una unidad de memoria USB de 256 MB en estos días).