Ein closed source OS ...

... ist prinzipiell ein schweres Sicherheitsrisiko und wird es immer bleiben. Wesentliche Teile von Windows sind undokumentiert. Wer sich auf den Websites von "Black Viper" oder "The Elder Geek" umsieht, wird finden, daß sich dort selbst kompetente Leute den Kopf darüber zerbrechen, welche Windows Services was tun, welche Services ungefragt (und unerkannt!) Internet Verbindungen herstellen, welche Services man abschalten kann und welche nicht etc. etc. Über solche Dinge läßt Microsoft (und Apple) die Welt im Dunkeln, denn Geheimniskrämerei sind ein wesentlicher Teil des Geschäftsmodells.

Daß jetzt auch noch sicherheitsrelevante Teile des OS der Kontrolle des Anwenders entzogen in einer sog. "Cloud" gespeichert werden sollen, macht es nicht besser. Im Gegenteil. Es öffnet die Türe für die nächste Generation von Trojanern, die dann vermutlich überhaupt nicht mehr entdeckt und entfernt werden kann. Aber auch das erfüllt seinen Zweck und ist so beabsichtigt. Gesichtserkennung (oder Fingerprint Sensor) zum Einloggen sind eine Zumutung. Die entsprechenden "Dienste" freuen sich sicher schon auf das neue Zeitalter der "totalen Transparenz" ...

Aber was soll's. Den Fanboys bedeutet Privacy nichts. Sie jubeln nur.

Coffee schrieb:
--------------------------------------------------------------------------------
> ... ist prinzipiell ein schweres Sicherheitsrisiko

Nein, es ist das überwiegend, aber nicht prinzipiell. Ein quell-code-offenes [1] Betriebssystem wäre sicherheitstechnisch nicht unsicherer einzustufen als ein OpenSource-System.

[1]
MS bietet ausgewählten Kunden schon heute Einblick in den Code, es spräche nichts prinzipiell dagegen das allgemein zu tun, ohne das Windows deshalb OPenSource werden müßte denn dafür relevante Eigenschaften (Weitergabe veränderten Codes) könnte MS weiterhin vorbehalten

> Wesentliche Teile von Windows sind undokumentiert.

Sehr unwahrscheinlich - worauf stützt sich diese Aussage? (Hinweis: nicht öffentlich dokumentiert =! dokumentiert)

> denn Geheimniskrämerei sind ein wesentlicher Teil des
> Geschäftsmodells.

stimmt und dieses Modell bewährt sich im Wettbewerb bisher ganz gut. Man mag das bedauern (ich tue das), nur man kann den Fakt als Solchen nicht wegreden

> Daß jetzt auch noch sicherheitsrelevante Teile des OS der Kontrolle des
> Anwenders entzogen in einer sog. "Cloud" gespeichert werden sollen,

ich sehe nicht warum sie dadurch grundsätzlich der KOntrolle des Anwenders entzogen wären

> Aber auch das erfüllt seinen Zweck und ist so
> beabsichtigt.

Eine völlig haltlose Behauptung. Was wohl sollte MS davon haben Dinge bewußt unsicher zu implementieren.

> Gesichtserkennung (oder Fingerprint Sensor) zum Einloggen
> sind eine Zumutung.

WArum? Es kommt auf die Implementierung an. Ich habe zum Beispiel überhaupt nichts gegen einen Fingerprint-Sensor an meinem Notebook, außer das ich dem Ganzen heutzutage sicherheitstechnisch noch nicht vertraue.

> Aber was soll's. Den Fanboys bedeutet Privacy nichts. Sie jubeln nur.

Halte ich, in dem was es wohl implizieren soll, für eine reine Unterstellung.
Die Wahrheit hingegen ist das die heute aufwachsende GEneration bestimmte Risiken ganz einfach anders beurteilt als ältere Generationen. Ich persönlich kenne z.B. niemanden, der ERnst zu nehmen wäre, der entsprechende Risiken leugnet, allein wollen viele Jüngere diese Risiken bewußt eingehen, so wie ich z.B. mich jeden Tag für das Risiko entscheide bei einem Autounfall mein Leben zu verlieren.

> > Gesichtserkennung (oder Fingerprint Sensor) zum Einloggen
> > sind eine Zumutung.
>
> WArum? Es kommt auf die Implementierung an. Ich habe zum Beispiel überhaupt
> nichts gegen einen Fingerprint-Sensor an meinem Notebook, außer das ich dem
> Ganzen heutzutage sicherheitstechnisch noch nicht vertraue.

Und du wirst es auch nie können. Sachen wie Fingerabdruck (oder wie in diesem Beispiel Gesichtserkennung) können vom Prinzip her schon nicht sicher sein. WELCHE Daten werden verwendet, um die Sicherheitsabfrage zu füttern? Eigenschaften deines Körpers. Und wie die IBM Werbung (vor den Videos) hier auf Golem schön aufzeigt, hinterlässt und verteilst du diese Eigenschaften in deiner Umwelt (Fingerabdrücke auf Gegenständen, Gesicht kann gesehen/fotografiert werden).

Nun was gibt es dümmeres, als etwas öffentlich Verfügbares als geheim einzustufen? Meiner Meinung nach nichts, denn hier wird das Prinzip eines Geheimnisses(=Secret=Passwort) vollständig missachtet.


BTW, sorry dass ich vom Thema ablenke, musste ich einfach gesagt haben :)

> Was wohl sollte MS davon haben Dinge bewußt unsicher zu implementieren.
Supportverträge. Einen guten Stand bei der NSA.

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.

Coffee schrieb:
--------------------------------------------------------------------------------
> ... ist prinzipiell ein schweres Sicherheitsrisiko und wird es immer
> bleiben.


Genau und ein Opensource-OS, wo jeder Hacker offen die Schwachstellen suchen kann ist natürlich viel sicherer...

Und jetzt komm nicht mit den Pseudoargumenten wie "aber Millionen Nutzer gucken da doch auch rein und wenn die das finden wird das sofort gefixt", die Realität sieht anders aus.

> Und du wirst es auch nie können. Sachen wie Fingerabdruck (oder wie in
> diesem Beispiel Gesichtserkennung) können vom Prinzip her schon nicht
> sicher sein.

Komisch das jeder Kriminaltechniker mich EINDEUTIG anhand meines Fingerabdruckes identifizieren kann und EINDEUTIG sicherstellen kann das es auch tatsächlich mein Figer ist und ich am Leben bin.
WArum das nicht eines Tages maschinell automatisierbar sein sollte, dafür kenne ich keinen Grund.

> Nun was gibt es dümmeres, als etwas öffentlich Verfügbares als geheim
> einzustufen?

Ja eben und für einen Fingerabdruck-SEnsor wäre das auch garnicht notwendig.

Der Kaiser! schrieb:
--------------------------------------------------------------------------------
> > Was wohl sollte MS davon haben Dinge bewußt unsicher zu implementieren.
> Supportverträge. Einen guten Stand bei der NSA.

Wie, das hat man wenn man Trojanern den Weg ebnet. Also Werkzeuge stärkt gegen die auch die NSA kämpft, sind sie doch Waffen im erwartenten zukünftigen Cyber-war?
Und Supportverträge bekommt man wenn man Nutzer täuscht? Ich glaube kaum.

Das Bild was Du hier versuchst zu zeichnen hat mirt der REalität nichts zu tun, es ist dumm, es ist reines Bashing.

jtdy schrieb:
--------------------------------------------------------------------------------
> Coffee schrieb:
> ---------------------------------------------------------------------------
> -----
> > ... ist prinzipiell ein schweres Sicherheitsrisiko und wird es immer
> > bleiben.
>
> Genau und ein Opensource-OS, wo jeder Hacker offen die Schwachstellen
> suchen kann ist natürlich viel sicherer...

Nein, warum? Wer hat das behauptet?

Genau die Frage was nun sicherer ist ist doch die FRage die bisher nicht entschieden ist, die Frage die den Wettbewerb zwischen freier und properitärer Software antreibt.

> Und jetzt komm nicht mit den Pseudoargumenten wie "aber Millionen Nutzer
> gucken da doch auch rein und wenn die das finden wird das sofort gefixt",
> die Realität sieht anders aus.

Die Realität sieht für beide SEiten anders aus. Die Argumente sind bekannt, nur weder konnte bisher für propritäre noch fpür freie software die sicherheitstechnische Überlegenheit BEWIESEN werden, genau deswegen gibt es ja scharfen Wettbewerb. Wäre diue Frage hingegen bereits entschieden wäre diejenige Software die unterlegen wäre längst vom Markt verschwunden.

> Klaus5:
> Komisch das jeder Kriminaltechniker mich EINDEUTIG anhand meines
> Fingerabdruckes identifizieren kann und EINDEUTIG sicherstellen
> kann das es auch tatsächlich mein Figer ist und ich am Leben
> bin.Warum das nicht eines Tages maschinell automatisierbar
> sein sollte, dafür kenne ich keinen Grund.

Du kapierst es nicht. Sicherheit wirkt immer in mehrere Richtungen. Selbst wenn ein Gesichts-Scan oder ein Fingerabdruck unmöglich zu kopieren wären (was viele bezweifeln), dann würde dir das jedoch nur einen 100%ig unknackbaren lokalen Zugang zu deinem eigenen Rechner ermöglichen. Der Nachteil davon liegt auf der Hand: die Daten deines Gesichts-Scans oder deines Fingerabdrucks sind auf deinem Rechner gespeichert. Bei einem kompromittierten System (soll bei Windows häufiger vorkommen) können solche Daten ausgelesen und entschlüsselt werden ... die ideale Spielwiese für die Datensammler vom Verfassungsschutz, vom BKA, von der NSA und ähnlichen Dunkelmännern. Das war es, was ich weiter oben mit "Dienste" meinte. Die können dann nämlich ihre Bevölkerungsdatenbanken ganz bequem in einem automatisierten Prozess mit aktuellen Lichtbildern und Fingerabdrücken vervollständigen und darüber hinaus personalisierte Profile erstellen. Und mach' dir keine Sorgen über die Knackbarkeit verschlüsselter Gesichts-Scans oder Fingerabdrücke. Die sogenannte Westliche Welt finanziert ihre "Dienste" mit jährlich mehr als 100 Milliarden Dollar. Mit so einem Budget kriegen die das locker hin. Ein weiterer Nachteil von Scans gegenüber normalen Passwords ist, daß du dich, im Fall der Fälle, selbst auf einer Multi-User Maschine nicht mehr herausreden kannst. Dank Scan bleibst du immer eindeutig identifizierbar.

> jtdy:
> Und jetzt komm nicht mit den Pseudoargumenten wie "aber Millionen
> Nutzer gucken da doch auch rein und wenn die das finden wird das
> sofort gefixt", die Realität sieht anders aus.

Was für'n Blödsinn.

> Du kapierst es nicht.

Doch, das tue ich, ich bin sogar täglich beruflich damit befasst.

> Selbst
> wenn ein Gesichts-Scan oder ein Fingerabdruck unmöglich zu kopieren wären
> (was viele bezweifeln), dann würde dir das jedoch nur einen 100%ig
> unknackbaren lokalen Zugang zu deinem eigenen Rechner ermöglichen.

ja, in diesem Sinne wäre das zu verstehen.

>Der
> Nachteil davon liegt auf der Hand: die Daten deines Gesichts-Scans oder
> deines Fingerabdrucks sind auf deinem Rechner gespeichert.

Ja, aber nur verschlüsselt, ist diese Verschlüsselung unsicher implemetiert passiert natürlich geau das was Du sagst, nur ist das doch kein Argument, denn mit dieser Begründung, nämlich das Systeme versagen könnten, brauchte man sich garnicht mehr um Fortschritt bemühen.

> Und
> mach' dir keine Sorgen über die Knackbarkeit verschlüsselter Gesichts-Scans
> oder Fingerabdrücke. Die sogenannte Westliche Welt finanziert ihre
> "Dienste" mit jährlich mehr als 100 Milliarden Dollar. Mit so einem Budget
> kriegen die das locker hin.

Nein, Geld ist DAFÜR keinerlei Garant.

Ich verstehe das ganze Geweine nicht...
Microsoft wird die Gesichtserkennung vielleicht als Feature einbauen, aber sicher nicht als alleinige Authentifizierung.
Man wird sich ganz sicher auch noch ganz normal einloggen können.

Was ich eigentlich gemeint habe, ist dass du die Rohdaten für dein Passwort in die Welt hinaus schleuderst. Und das ganz eifach in dem du lebst (du verteilst Fingerabdrücke und jeder kann dich fotografieren). Somit ist es in leichtes, Zugang zu deinem Account zu bekommen. Und die Webcam in deinem Blödmarkt Rechner erkennt bestimmt keinen Unterschied zwischen dir und einem Foto von dir..

FoxC0re schrieb:
--------------------------------------------------------------------------------
> Was ich eigentlich gemeint habe, ist dass du die Rohdaten für dein Passwort
> in die Welt hinaus schleuderst. Und das ganz eifach in dem du lebst (du
> verteilst Fingerabdrücke und jeder kann dich fotografieren). Somit ist es
> in leichtes, Zugang zu deinem Account zu bekommen.

Nein, das ist es nicht. Du lebst hier argumentativ in einer WElt der technologischen Vergangenheit, weil Du anscheinend glaubst es käme hier auf Geheimhaltung an das kommt es jedoch nicht, mehr noch, Geheimhaltung wäre hier ein Sicherheitsrisiko, gerade die Offenheit bietet Sicherheit.

Wenn ich bereits eine fertige technische Lösung hätte würde ich wohl eher hier nicht posten, weil ich dann bereits dabei wäre meinen Lebensabend als Millionär zu genießen. Andererseits woird auf dem Gebiet intensiv geforscht und der Ansatz ist der den ich bereits nannte: jeder fähige Krimiinaltechniker kann Dich EINDEUTIG anhand Deines Fingerabdruckes identifizieren und kann Manipulationen sicher ausschließen.
Die gesamze Aufgabe besteht nun nur darin das zu automatisieren und technologisch zu beherrschen und letztlich marktgängig zu implemetieren ... möglicherweise, bei heutigem Stand der Forschung, eine FRage von 5 Jahren, ganz sicher aber von unter 20 Jahren.

>> Du kapierst es nicht.

> Doch, das tue ich, ich bin sogar täglich beruflich damit befasst.

... dann nehme ich meine unverschämte Behauptung selbstverständlich zurück :-)


>> Der Nachteil davon liegt auf der Hand: die Daten deines Gesichts-Scans
>> oder deines Fingerabdrucks sind auf deinem Rechner gespeichert.

> Ja, aber nur verschlüsselt, ist diese Verschlüsselung unsicher implemetiert
> passiert natürlich geau das was Du sagst, nur ist das doch kein Argument,
> denn mit dieser Begründung, nämlich das Systeme versagen könnten,
> brauchte man sich garnicht mehr um Fortschritt bemühen.

... ich finde, es ist ein starkes Argument, sich lieber mit einem traditionellen (aber sicheren!) Passwort einzuloggen. Bei gehacktem Rechner kann einem dann zumindest nichts wirklich persönliches wie ein Scan geklaut werden. Ich finde Gesichts-Scans und Fingerabdrücke sind Schnick-Schnack der nichts mit Fortschritt zu tun hat und bei dem die Nachteile überwiegen.


> Nein, Geld ist DAFÜR keinerlei Garant.

Ich glaube wir würden alle aus dem Staunen nicht herauskommen, wenn wir sehen könnten, welche Ressourcen in die Überwachung investiert werden und wie erfolgreich unsere "Dienste" solche Technologie nutzen. Davon abgesehen, sämtliche großen amerikanischen Corporations sind gesetzlich dazu verdonnert, mit den entsprechenden staatlichen Stellen zu kooperieren. Wenn auch bislang noch niemand den lange vermuteten NSA Key in Windows gefunden hat, wer sagt denn, daß die unzähligen Sicherheitslöcher und Rechenfehler beim Generieren von Zufallszahlen wirklich so unbeabsichtigt sind, wie sie von MS immer dargestellt werden? Vor dem Hintergrund würde ich jedenfalls keine sicherheitsrelevanten Teile meines OS in eine Cloud auslagern wollen oder anstatt simpler Passworte Scans verwenden.

Klaus5 schrieb:
--------------------------------------------------------------------------------
> Die Realität sieht für beide SEiten anders aus. Die Argumente sind bekannt,
> nur weder konnte bisher für propritäre noch fpür freie software die
> sicherheitstechnische Überlegenheit BEWIESEN werden


Es kann ja auch nicht bewiesen werden, da es nicht pauschal gesagt werden kann.

Closedsource bringt nix, wenn der Hersteller nichts macht. Opensource bringt nix wenn kein Freiwilliger seine Zeit dafür opfern will.

Nur dass Closedsource für den Hersteller wenigstens nen Ansporn hat, da der Hersteller von den Verkäufen abhängig ist. Bei Opensource ist das scheissegal wenn was vom Markt verschwindet.

Paul Schal schrieb:
--------------------------------------------------------------------------------
> Klaus5 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Die Realität sieht für beide SEiten anders aus. Die Argumente sind
> bekannt,
> > nur weder konnte bisher für propritäre noch fpür freie software die
> > sicherheitstechnische Überlegenheit BEWIESEN werden
>
> Es kann ja auch nicht bewiesen werden, da es nicht pauschal gesagt werden
> kann.
>
> Closedsource bringt nix, wenn der Hersteller nichts macht. Opensource
> bringt nix wenn kein Freiwilliger seine Zeit dafür opfern will.
>
> Nur dass Closedsource für den Hersteller wenigstens nen Ansporn hat, da der
> Hersteller von den Verkäufen abhängig ist. Bei Opensource ist das
> scheissegal wenn was vom Markt verschwindet.

Nur das MS mit seinem Quasimonopol keinen Druck hat. Die 8% Mac/Linux/Sonstiges Benutzer? Scheiß drauf.

> Komisch das jeder Kriminaltechniker mich EINDEUTIG anhand meines Fingerabdruckes identifizieren kann
Eindeutig in Bezug zu was? Einem Aufenthaltsort?

Stell dir vor ich bin ein Verbrecher und will dir eins reinwürgen. Ich brech in deine Wohnung ein, nehme mir von deiner Kaffetasse deine Fingerabdrücke, von deinem Kamm ein paar Haare, und von deinem Bett ein paar Hautschuppen.

Nun gehe ich damit an einen "Tatort", begehe ein Verbrechen, und platziere dort "Beweise".* Eindeutig das du das Verbrechen begangen hast und nicht ich, oder? :)

*In den wichtigen Momenten habe ich natürlich einen Schutzanzug getragen. So einen wie sie die Kriminalisten tragen. Ich will ja keine Spuren hinterlassen. ^^

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.

> Wie, das hat man wenn man Trojanern den Weg ebnet. Also Werkzeuge stärkt gegen die auch die NSA kämpft, sind sie doch Waffen im erwartenten zukünftigen Cyber-war?
Die NSA hat ein starkes Interesse an Hintertüren, Sicherheitslücken und Trojanern. Wie sonst kommt man in Systeme und wie sonst steuert man Systeme?

> Und Supportverträge bekommt man wenn man Nutzer täuscht? Ich glaube kaum.
Ohne Probleme, bräuchte es keinen Support! Denk mal drüber nach! ;)

___

Die ganz grossen Wahrheiten sind EINFACH!

Wirkung und Gegenwirkung.
Variation und Selektion.
Wie im grossen, so im kleinen.

Also wer mal Mythbusters gesehen hat weiss das sich Fingerabdrucksensoren selbst mit einem auf Papier gedruckten Fingerabdruck überlisten lässt!

Fingerabdruck von ner CD genommen
Fingerabdruck eingescannt und mittels Bildbearbeitung die Rillen verbessert
Fingerabdruck ausgedruckt


Des Spielchen funktionierte an einem Laptop und an einem Sicherheitsschloss...


Btw. Fingerabdrücke gibt es auf dem Laptop genügend, also halte ich einen Fingerabdrucksensor für nutzlos...

PS. Wer es ned glaubt kann es mal versuchen ;)

> Eindeutig in Bezug zu was?

Das schrieb ich bereits, eindeutig anhand des Abgleichs zu weiteren merkmalen, wobei die WAhl diueser merkmale, je nach Situation und verfügbarkeit, variabel ist, z.B. neben Photo und DNA, auch Zahnstatus, oder Stimmprobe, oder ... .

> Stell dir vor ich bin ein Verbrecher und will dir eins reinwürgen. Ich
> brech in deine Wohnung ein, nehme mir von deiner Kaffetasse deine
> Fingerabdrücke, von deinem Kamm ein paar Haare, und von deinem Bett ein
> paar Hautschuppen.
>
> Nun gehe ich damit an einen "Tatort", begehe ein Verbrechen, und platziere
> dort "Beweise".* Eindeutig das du das Verbrechen begangen hast und nicht
> ich, oder? :)

Nein, eindeutig ist da garnichts, es handelt siuch hier um den klassischen Fall von Indizienbeweis den ich jederzeit kontern kann mit dem Beweis wo ich zum Tatzeitpunkt war.
Das sind ganz normale Kriminalfälle duie jederzeit in der REalität vorkommen können.

Ich verstehe auch nicht was das mit dem Bereits zur Computeridentifizierung Gesagten zu tun hat, denn dort geht es (wenn ich nun jenseits des fingerabderrucvkes noch weiter verallgemeinere) nur darum eine Person verlässlich zu identifizieren. Das jedoch ist etwas was jeder von uns aus dem FF beherrscht, denn jeder von uns kann FAmilie und Freunbde EINDEUTIG identifizieren.
Und für diese Art der Identifizierung die wir teils alle können, die teils aber auch der technische Vorgang eines Kriminaltechniker sein kann gilt es nun nur eine automatisierbare technische Lösung zu finden.