1. Foren
  2. Kommentare
  3. Applikationen
  4. Alle Kommentare zum Artikel
  5. › Corona-Warn-App: Mehr als 10…

Teuer und unsicher: SAP as usual...

  1. Thema

Neues Thema Ansicht wechseln


  1. Teuer und unsicher: SAP as usual...

    Autor: Zambezi 21.06.20 - 18:38

    Toll diese neue App, muss' ich sagen. Nicht nur, dass man (genug) Holzköpfe in der Politik davon überzeugt hat, völlig überzogene Kosten zu berappen - jetzt ist auch noch der Rechtfertigungsgrund #1 entfallen: "Man konnte kein vorgefertigtes Framework nehmen, sondern musste - wegen der Sicherheit - von Grund auf neuentwickeln. Deswegen die hohen Kosten..." Naja, das (er)klärt dann der Bundesrechnungshof in ein, zwei Jahren, so wie bei allen "Vorfällen" (Scheuer, von der Leyen, ...), ohne Konsequenzen für die verantwortlichen Verschwender.

    Immerhin: Bald kann man den Satz: "Nur Unternehmen die die Einführung von SAP überlebt haben, sind wirklich gesunde Unternehmen." auf "Nur Bevölkerungen... " erweitern.🤭

  2. Re: Teuer und unsicher: SAP as usual...

    Autor: bark 21.06.20 - 19:15

    Chill diggi

    Zambezi schrieb:
    --------------------------------------------------------------------------------
    > Toll diese neue App, muss' ich sagen. Nicht nur, dass man (genug) Holzköpfe
    > in der Politik davon überzeugt hat, völlig überzogene Kosten zu berappen -
    > jetzt ist auch noch der Rechtfertigungsgrund #1 entfallen: "Man konnte kein
    > vorgefertigtes Framework nehmen, sondern musste - wegen der Sicherheit -
    > von Grund auf neuentwickeln. Deswegen die hohen Kosten..." Naja, das
    > (er)klärt dann der Bundesrechnungshof in ein, zwei Jahren, so wie bei allen
    > "Vorfällen" (Scheuer, von der Leyen, ...), ohne Konsequenzen für die
    > verantwortlichen Verschwender.
    >
    > Immerhin: Bald kann man den Satz: "Nur Unternehmen die die Einführung von
    > SAP überlebt haben, sind wirklich gesunde Unternehmen." auf "Nur
    > Bevölkerungen... " erweitern.🤭

  3. Was genau ist unsicher?

    Autor: Luu 21.06.20 - 20:51

    Haben Sie da Details zu den Sicherheitslücken?

  4. Re: Was genau ist unsicher?

    Autor: Zambezi 23.06.20 - 14:57

    Über das GAP ließen sich die Bluetoothdaten manipulieren und das Bewegungsprofil eines Nutzers auslesen. Im Gegensatz zur relay attack (bug #2) nichts wirklich Neues, wenn man sich mit GAP auskennt.

    Oder deutlicher: Nutzer lassen sich duplizieren und an Orten bewegen, an denen sie nie waren. Schon eher ungeil. Oder extrem lustig, wenn man um Rheda-Wiedenbrück herum wohnt und ein bisschen gamen will.



    1 mal bearbeitet, zuletzt am 23.06.20 14:58 durch Zambezi.

  5. Re: Was genau ist unsicher?

    Autor: jfolz 23.06.20 - 16:43

    Zambezi schrieb:
    --------------------------------------------------------------------------------
    > Über das GAP ließen sich die Bluetoothdaten manipulieren und das
    > Bewegungsprofil eines Nutzers auslesen.

    Details dazu? Was lässt sich manipulieren?
    Der RPI ändert sich alle 10 Minuten und man muss in der Nähe sein, damit man ihn empfängt. Also entweder man verfolgt die Person oder man verteilt großflächig Bluetooth-Empfänger. Um aus den RPI wenigstens Cluster bilden benötigt man aber die TEKs aus denen sie generiert werden. Die können aber erst nach einem positivem Test veröffentlicht werden. Hat man Zugriff auf das Gerät, um die TEKs direkt auszulesen hat der Besitzer eh ein ganz anderes Problem. IMO viel Aufwand um begrenzt Personen zu verfolgen, was man auch viel einfacher haben kann.

    Teuer ist an der Stelle relativ... fast, cheap, good, pick any two. Wäre sicher günstiger gegangen, aber allein der Vergabeprozess hätte länger gedauert als das komplette ausrollen der funktionierenden App.



    1 mal bearbeitet, zuletzt am 23.06.20 16:47 durch jfolz.

  6. Re: Was genau ist unsicher?

    Autor: Zambezi 24.06.20 - 00:33

    Du musst niemanden verfolgen, wenn Du auch 6 - 9 min warten kannst. Ob sich dafür in Großstädten irgendwo die Gelegenheit bieten könnte? Dasselbe gilt für positiv ja/nein: Spamming reicht, eben gerade weil ich Nutzer X hin- und her"beamen" kann.

    Die App wär' sicher nicht für lau zu haben gewesen oder eine 80k Entwicklung. Aber hier hört man ja schon die Nachtigall trappsen, soll heißen: Wohl Direktvergabe, inkl. fehlende Preisprüfung. Kenn' ich ja auch aus der Praxis: "Hm, für 30k können wir das dem Kunden anbieten." - Sales: "Wir müssen schon 300k verlangen, sonst nimmt uns keiner ernst..."

  7. Re: Was genau ist unsicher?

    Autor: dura 24.06.20 - 01:22

    Zambezi schrieb:
    --------------------------------------------------------------------------------
    > Du musst niemanden verfolgen, wenn Du auch 6 - 9 min warten kannst. Ob sich
    > dafür in Großstädten irgendwo die Gelegenheit bieten könnte? Dasselbe gilt
    > für positiv ja/nein: Spamming reicht, eben gerade weil ich Nutzer X hin-
    > und her"beamen" kann.
    Hä? Du erklärst immer noch nicht, was du genau machen willst. Wie willst du eine Person duplizieren, deren ID du nicht hast, weil du nicht in ihrer Nähe bist? Und wo willst du sie dann ausstrahlen? Ich sehe da immer noch keinen wirklichen Angriff, abgesehen davon, dass es halt auch einfach eine scheiß asoziale Aktion wäre.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. procilon Group GmbH, Taucha bei Leipzig
  2. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck
  3. Computacenter AG & Co. oHG, verschiedene Standorte
  4. SEW-EURODRIVE GmbH & Co KG, Bruchsal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. mit 3.298€ neuer Bestpreis auf Geizhals
  2. (u. a. Xbox Series S 299,99€, Xbox Wireless Controller Robot White 55,95€, Xbox Play & Charge...
  3. (u. a. Zotac GeForce RTX 3060 Ti TWIN EDGE OC für 809€)


Haben wir etwas übersehen?

E-Mail an news@golem.de