unterwandert?

Ich glaube eher MS Arbeitet mit denen zusammen, wie jedes andere US Unternehmen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Und wenn es nicht MS (im Sinne der Führungsetage) als solches ist, dann hat irgendein Mitarbeiter gegen Geld oder aus Nationalstolz das Zertifikat erstellt. Als wäre es notwendig den Aufsichtsrat oder den Vorstand von einer Zusammenarbeit mit den Geheimdiensten zu überzeugen...

Benutzer wird von Ihnen ignoriert. Anzeigen

Können Sie das auch belegen? Oder einfach mal daher geredet ?

Benutzer wird von Ihnen ignoriert. Anzeigen

Als US-Präsident, würde ich einen Geheimdienstchef, der das nicht wenigstens versucht jedenfalls hochkant rausschmeißen. ^^

Weil es kann ja wohl nicht sein, dass 90% der Computer weltweit mit MS-Software laufen, die in den USA programmiert wird und die US-Geheimdienste können daraus keinen Vorteil ziehen und haben keine direkten oder indirekten Zugang ... ^^

Das ist doch völlig außerhalb von vorstellbar und akzeptabel (aus US-Sicht).
Wäre das nicht der Fall, würde ich mir als US-Chef jedenfalls an den Kopf packen. ^^

Deshalb würde ich mal grundsätzlich davon ausgehen, dass US-Geheimdienste jederzeit in der Lage sind, Spionage-Software per Windows-Update auf PCs zu installieren. Nur halt nicht zuuuu oft, damit es nicht noch irgendwann auffällt. Das ist doch völlig klar.



4 mal bearbeitet, zuletzt am 19.06.12 13:31 durch Sukram71.

Benutzer wird von Ihnen ignoriert. Anzeigen

TechnicalCE schrieb:
--------------------------------------------------------------------------------
> Können Sie das auch belegen? Oder einfach mal daher geredet ?

Als wäre dass das erste mal wo die USA versucht über US Firmen druck auf einen anderen Staat auszuüben.

Benutzer wird von Ihnen ignoriert. Anzeigen

klink schrieb:
--------------------------------------------------------------------------------
> TechnicalCE schrieb:
> ---------------------------------------------------------------------------
> -----
> > Können Sie das auch belegen? Oder einfach mal daher geredet ?
>
> Als wäre dass das erste mal wo die USA versucht über US Firmen druck auf
> einen anderen Staat auszuüben.


Ja es ist aber ein Unterschied ob diese Firmen benutzt werden oder freiwillig mitspielen. Und letzteres wird MS hier vorgeworfen. ;)

Benutzer wird von Ihnen ignoriert. Anzeigen

syntax error schrieb:
--------------------------------------------------------------------------------

> > Als wäre dass das erste mal wo die USA versucht über US Firmen druck auf
> > einen anderen Staat auszuüben.
>
> Ja es ist aber ein Unterschied ob diese Firmen benutzt werden oder
> freiwillig mitspielen. Und letzteres wird MS hier vorgeworfen. ;)

Würde MS nicht freiwillig mitspielen, würde man denen das auch als "unpatriotisch" vorwerfen, wenn es in den USA bekannt würde. :-)

Aber vermutlich arbeiten gute Progammierer sowieso ein paar Jahre bei MS, dann bei ner NSA-Tarnfirma, dann wieder bei MS, usw. Mehr oder weniger normal.



1 mal bearbeitet, zuletzt am 19.06.12 13:29 durch Sukram71.

Benutzer wird von Ihnen ignoriert. Anzeigen

TimBln schrieb:
--------------------------------------------------------------------------------
> Und wenn es nicht MS (im Sinne der Führungsetage) als solches ist, dann hat
> irgendein Mitarbeiter gegen Geld oder aus Nationalstolz das Zertifikat
> erstellt. Als wäre es notwendig den Aufsichtsrat oder den Vorstand von
> einer Zusammenarbeit mit den Geheimdiensten zu überzeugen...

Warum will es hier einfach keiner Wahrhaben, dass man mit ein Paar GPUs genug Rechenleistung hat, um Zertifikate selbst zu fälschen?

Man kann prinzipiell _JEDES_ Zertifikat fälschen, wenn es Hashfunktionen verwendet die Kollisionen hat. Nur Rechenleistung ist nötig.

Es kam bei dem fraglichen Zertifikat md5(rsa) zum Einsatz, welche mit die unsicherste Variante ist, die noch im Einsatz ist.

Microsoft hat lediglich bewiesen, dass sie in diesem einen Fall den Wechsel zu SHA verschlafen haben (oder auch mehreren Fällen wie die Zukunft zeigen wird).

Meine Güte, Zertifikate fälschen ist seit 2008 so etwas von simpel.

[www.win.tue.nl] (Creating a rogue CA certificate)
[www.win.tue.nl] (A Single Block Chosen Prefix Collision for MD5)

Heutzutage statt mit 200 PS3-Konsolen mit gerade mal 6 Grafikkarten möglich.

Schade das sich keiner heutzutage mehr selbst aus reinem Interesse mit der Materie befasst. Ich bin auch kein Mathematiker, aber dennoch versuche ich mich einzulesen.

Verschwörungstheoretiker sind zu 90% sowieso nur Leute die absolut keine Ahnung haben. Würden die sich auch nur einmal mit fundiertem Wissen auseinander setzten müssten sie die Hände über ihrem Kopf zusammenschlagen vor Schmerzen.

Ich meine hiermit niemanden im Golem Forum.



1 mal bearbeitet, zuletzt am 19.06.12 13:37 durch acid1.

Benutzer wird von Ihnen ignoriert. Anzeigen

Zitat:
Warum will es hier einfach keiner Wahrhaben, dass man mit ein Paar GPUs genug Rechenleistung hat, um Zertifikate selbst zu fälschen?

Man kann prinzipiell _JEDES_ Zertifikat fälschen, wenn es Hashfunktionen verwendet die Kollisionen hat. Nur Rechenleistung ist nötig.
------------------

Wenn ma nejdes Zertifikat mal eben fälschen könnte hätten wir nen Problem ein Glück ist dem nicht so :)

Benutzer wird von Ihnen ignoriert. Anzeigen

blackbirdone schrieb:
--------------------------------------------------------------------------------
> Wenn ma nejdes Zertifikat mal eben fälschen könnte hätten wir nen Problem
> ein Glück ist dem nicht so :)

md5 galt auch mal als sicher. Wie gesagt, wenn es Kollisionen gibt ist auch ein Angriff möglich mit genügend Zeit & Leistung.

Benutzer wird von Ihnen ignoriert. Anzeigen

acid1 schrieb:
--------------------------------------------------------------------------------
> Warum will es hier einfach keiner Wahrhaben, dass man mit ein Paar GPUs
> genug Rechenleistung hat, um Zertifikate selbst zu fälschen?

Aber darum geht es doch gar nicht. Was ist aus deiner Sicht einfacher: ein paar Spezialisten einkaufen, Hardware kaufen und Zeit verwenden, um ein Zertifikat zu bekommen oder einen einzelnen Mitarbeiter bei MS, zu dem man eh schon gute Kontakte hat sagen: du kannst hier was für dein Vaterland (wahlweise: die nationale Sicherheit) tun, erstell mal ein Zertifikat?

Für mich sind die Überlegungen des Herrn Hypponen einfach abwegig, um nichts anderes ging es mir bei der Aussage. Es mag noch hunderte anderer Szenarien geben, um an ein Zertifikat zu kommen, aber die Schlußfolgerungen von Herrn Hypponen scheinen für ihn die einzig denkbare Erklärung zu sein. Und das halte ich eben für Blödsinn.

Benutzer wird von Ihnen ignoriert. Anzeigen

TimBln schrieb:
--------------------------------------------------------------------------------
> acid1 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Warum will es hier einfach keiner Wahrhaben, dass man mit ein Paar GPUs
> > genug Rechenleistung hat, um Zertifikate selbst zu fälschen?
>
> Aber darum geht es doch gar nicht. Was ist aus deiner Sicht einfacher: ein
> paar Spezialisten einkaufen, Hardware kaufen und Zeit verwenden, um ein
> Zertifikat zu bekommen oder einen einzelnen Mitarbeiter bei MS, zu dem man
> eh schon gute Kontakte hat sagen: du kannst hier was für dein Vaterland
> (wahlweise: die nationale Sicherheit) tun, erstell mal ein Zertifikat?


Natürlich geht es darum aus meiner Sicht.

Eine der Personen (Marc Stevens), die damals Angriffe auf md5 untersucht haben sagt ja selbst, es sei eine ihm unbekannte Methode zum Einsatz gekommen, um das fragliche Zertifikat zu fälschen.

Wäre es jemand bei Microsoft selbst, dann könnten sie sich ja das ganze Rechnen ersparen.

Ich meine ja nur, es kam eine vollkommen neue Kollision zum Einsatz. Das War die Arbeit von Mathematikern und Informatikern, ein Maulwurf ist da überflüssig.

Will nicht behaupten die anderen Methoden wären unmöglich, aber gefühltermaßen klingt das alles nach zu viel Aufwand und gefährlichen Mitwissern.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das wird MS doch eben nicht vorgeworfen. Es ist ein großer Unterschied, ob die Firmenleitung das genehmigt oder ob ein Maulwurf eingeschleust wird.

Benutzer wird von Ihnen ignoriert. Anzeigen

die unbekannte methode wird einfach der maulwurf sein. wo steht im artikel was von kollision?

Benutzer wird von Ihnen ignoriert. Anzeigen

fratze123 schrieb:
--------------------------------------------------------------------------------
> die unbekannte methode wird einfach der maulwurf sein. wo steht im artikel
> was von kollision?

Auf anderen IT-Seiten, die mehr auf die eigentlichen Fakten eingegangen sind:

> "We have confirmed that Flame uses a yet unknown MD5 chosen-prefix collision
> attack," Marc Stevens wrote in an e-mail posted to a cryptography discussion group
> earlier this week. "The collision attack itself is very interesting from a scientific
> viewpoint, and there are already some practical implications." Benne de Weger,
> a Stevens colleague and another expert in cryptographic collision attacks who was
> briefed on the findings, concurred.

Quelle: arstechnica.com

Benutzer wird von Ihnen ignoriert. Anzeigen

> Würde MS nicht freiwillig mitspielen, würde man denen das auch als
> "unpatriotisch" vorwerfen, wenn es in den USA bekannt würde. :-)
>

pffffft. Dieses Patriotismusgeschwafel war/ist nur dafür da die blöde Masse und Farmer Doe in Virginia daran zu erinnern, daß die Geheimdienste alles tun müssen um die nationale Sicherheit zu schützen, man darf sich auch freiwillig für die Armee verpflichten, bitteschön.
In anderen Kreisen gehts ums Geld, da ist Patriotismus nur hinderlich. Würde MS freiwillig mitspielen, würde das früher oder später herauskommen und dann ist für MS Polen offen, dann hätten die ein ganz anderes Problem als nur miese Verkaufszahlen von WP7. Und damit das nicht geschieht kann die NSA natürlich versuchen einen Maulwurf einzuschleusen bzw zu rekrutieren, aber in den oberen Reihen würden die nicht mitspielen.

Benutzer wird von Ihnen ignoriert. Anzeigen

onkel hotte schrieb:
--------------------------------------------------------------------------------
> > Würde MS nicht freiwillig mitspielen, würde man denen das auch als
> > "unpatriotisch" vorwerfen, wenn es in den USA bekannt würde. :-)
> >
> pffffft. Dieses Patriotismusgeschwafel war/ist nur dafür da die blöde Masse
> und Farmer Doe in Virginia daran zu erinnern, daß die Geheimdienste alles
> tun müssen um die nationale Sicherheit zu schützen, man darf sich auch
> freiwillig für die Armee verpflichten, bitteschön.

Sicher. Aber so denken in den USA locker 50% der Leute ... :-)
Würde MS offiziell erklären mit dem US-Geheimdienst zusammen zu arbeiten,
würden die meisten US-Bürger wohl mit der Schulter zucken.
Im Gegensatz zum Rest der Welt. ^^

> Würde MS freiwillig mitspielen, würde das früher oder später herauskommen
> und dann ist für MS Polen offen, dann hätten die ein ganz anderes Problem
> als nur miese Verkaufszahlen von WP7.

Richtig. So sehe ich das auch.

> Und damit das nicht geschieht kann
> die NSA natürlich versuchen einen Maulwurf einzuschleusen bzw zu
> rekrutieren, aber in den oberen Reihen würden die nicht mitspielen.

Ein einzelner "Maulwurf" könnte ja gar nicht viel ausrichten. So einfach ist das nicht.

Vermutlich beschäftigt man ehemalige MS-Entwickler, die ihr internes Wissen über systemkritische Win-Bereiche und ungepatchte Sicherheitslücken mitbringen.
Schon alleine, weil solche Leute ja auch für fremde Geheimdienste sehr interessant sind. ^^

Und vielleicht kann man über die Jahre dann hierüber auch Kontakte zu aktiven Kollegen knüpfen. Aber das weiß man halt nicht, aber möglich ist sicher vieles.

Als Geheimdienst muss man seine extrem wichtige und sicherheits-relevante Software-Branche ja auch gegen fremde Geheimdienste schützen. Damit z. B. Windows-Entwickler mit kritischem Wissen, nicht einfach nach China gehen oder von dort bezahlt werden.
Schon alleine deshalb wird es da sowieso Kontakte und Beobachtung geben müssen. Deshalb ist das sowieso alles ein bisschen "fließend", schätze ich. ;-)



8 mal bearbeitet, zuletzt am 19.06.12 16:24 durch Sukram71.

Benutzer wird von Ihnen ignoriert. Anzeigen

Sehe ich auch so. Vor allem ist Microsoft durch die marktbeherrschende Stellung sehr angreifbar, Obama braucht nur mit dem Kartellamt drohen schon hat er freie Hand.

Benutzer wird von Ihnen ignoriert. Anzeigen

"Freiwillig"? Sehr lustig. XD
Sei Dir sicher dass es spätestens seit 9/11 eine ganze Reihe an "Acts" gibt, die dich dazu zwingen. Alternativ ist man man halt ein Vaterlandsveräter und unterstützt aktiv den Terror. ;)

Benutzer wird von Ihnen ignoriert. Anzeigen