1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › BND-Kauf von Zero Days: CCC warnt…

Einfach mal den Ball flach halten!

  1. Thema

Neues Thema Ansicht wechseln


  1. Einfach mal den Ball flach halten!

    Autor: tKahner 10.11.14 - 19:29

    Offensichtlich ist das Abhören der sicheren SSL-Leitungen ja möglich. Die Lücken in den Implementierungen existieren also egal, ob der BND Zero's kauft.

    Ich habe auch kein Problem damit, dass schlaue Menschen an der Dummheit anderer Geld verdienen. Der gerne geforderte moralisch korrekte Altruismus war auch vor der Ankündigung des BND nicht wirklich vorhanden. Und ja - wie wir alle wissen, sind die allermeisten Sicherheitslücken aus Nachlässigkeit (ein anderer wird's schon prüfen/richten [u.a. heartbleed]) aus Unvermögen bei der Umsetzung eines komplexen Themas, schlicht durch Vorsatz (is doch eh wurscht - nichts ist wirklich sicher oder aus Gründen der Kundenzufriedenheit [z.B. Rückwärtskompatibilität] oder ist halt ein schwieriges Thema) entstanden.
    Und ja es ist ein schwieriges Thema, dass einfach Aufmerksamkeit in der Sache erfordert. Auch für Techno-Laien. Wer drin ist, ist halt drin!

    Warum sollte der BND nicht Geld dafür bezahlen, sich dieses Wissen einzukaufen? Das finde ich auf jeden Fall immer nicht besser, als wenn der Staat Hehlerware (schweiz. Daten-CDs) aufkauft, also direkt zu einer Straftat animiert - und zwar sowohl moralisch als auch rechtlich.
    Es passiert doch sowieso!

    Ich bin immer noch fest davon überzeugt, dass eine starke Verschlüsselung bei richtiger Implementierung nicht (sinnvoll) geknackt werden kann. Je mehr Druck auf das SSL- und andere Verfahren aufgebaut wird, desto eher werden sich die Lücken auch schließen.

    Bisher hat mir noch keiner gezeigt, dass der Einsatz von SSL per se falsch ist.
    Am Ende werden auch solche Aktionen, wie die des BND nur dazu beitragen, dass gesamte System sicherer zu machen!

  2. Re: Einfach mal den Ball flach halten!

    Autor: spYro 10.11.14 - 22:23

    Leider nur halb korrekt.
    Ich stimme in die den Punkten prinzipiell zu. Allerdings bewirkt das einkaufen solcher Sicherheitslücken, dass die Nachfrage steigt. Folglich werden Sicherheitsfirmen, denen Exploits auffallen, diese meistens nicht mehr bekanntgeben, sondern verkaufen. Bringt halt Geld ein.
    Allerdings, wie im Artikel schon leicht angedeutet, könnte es auch dazu animieren in Hardware und Software die Implementierung absichtlich nicht bombenfest zu gestalten, um diese Sicherheitslücke dann ebenfalls zu verkaufen.
    Die Folge wäre: Immer mehr Sicherheitslücken die immer weniger bekannt werden.

    Das ist damit gemeint, wenn der CCC von extremem wirtschaftlichem Schaden redet.

  3. Re: Einfach mal den Ball flach halten!

    Autor: tKahner 10.11.14 - 23:43

    @spYro:
    Ja, da stimme ich Dir im Wesentlichen zu!

    Aber ich wiederhole meine These, dass Sicherheitslücken nicht erst durch Suchen oder ganz plötzlich aus dem Nichts entstehen. Ich denke auch nicht, dass schon vorher die Mehrzahl der gravierenden Lücken, öffentlich bekannt sind.

    Wer Exploit erstellt, weiß was sie wert sind. Man wird immer eine Kosten/Nutzen-Abschätzung machen. Und auch ein paar FreeBe-Exploits entsprechen einem Geldwerten Vorteil denn ich kann so meine Expertise zu zeigen und dann mit den richtig guten Zero's dann richtig gut verdienen.

    Die im Artikel angedeutete und auch von mir so unterstellte vorsätzliche Unsicherheit bei vielen Produkten ist ebenfalls so oder so gegeben. Closed-Source ist nicht nur dahingehend im Nachteil. Auch das Beseitigen der eigenen Fehler muss und ist Teil der Wirtschaftlichkeitsbetrachtung von Closed-Source.
    Dass Open-Source auch nicht sicherer ist, nur weil es OS ist, haben wir ja auch gelernt. Aber hier stehen wenigstens die Chancen einfach besser.

    Exploit waren und sind schon seit vielen Jahrzehnten Teil der Wirtschaftsspionage. Wenn der CCC jetzt einem extremen wirtschaftlichen Schaden befürchtet, dann redet er von etwas, dass schon lange existiert. Ich halte es für naiv zu glauben, dass erst jetzt LEAs dahinterkommen, wie mächtig Exploits sind.

    Ich finde es grundsätzlich richtig, dass LEAs technisch nicht hinter Wirtschaftsunternehmen oder Kriminelle stehen.

    Eine moralische Bewertung erübrigt sich zudem eh. Ich kann und werde mein persönliches Wertesystem immer so einstellen, dass ich meine Handlung oder die der Firma, für die ich arbeite, rechtfertigen kann.
    In meiner Welt (Vertriebs- & Verhandlungstrainings) nennt man das Kognitive Dissonanz und ist ein wesentlicher Punkt der (Selbst-)Manipulation.

    Und deswegen sage ich:
    Je mehr und je offensichtlicher elementare persönliche und wirtschaftliche Grundbedürfnisse zur Disposition stehen, je mehr die Menschen sehen, dass staatliche Organe sich in ihren Methoden nicht von der Konkurrenz oder Kriminellen unterscheiden, desto eher werden sich die Menschen eines Besseren belehren lassen und bewusster und vorsichtiger mit Technik umgehen.
    Durch Schaden wird man klug - immer schon!

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Chemnitzer Verlag und Druck GmbH & Co. KG, Chemnitz
  2. ALDI SÜD Dienstleistungs-GmbH & Co. oHG, Mülheim an der Ruhr
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. HABA Group B.V. & Co. KG, Bad Rodach bei Coburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 96,51€
  2. (reduzierte Überstände, Restposten & Co.)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Ryzen Pro 4750G/4650G im Test: Die mit Abstand besten Desktop-APUs
Ryzen Pro 4750G/4650G im Test
Die mit Abstand besten Desktop-APUs

Acht CPU-Kerne und flotte integrierte Grafik: AMDs Renoir verbindet Zen und Vega überzeugend in einem Chip.
Ein Test von Marc Sauter

  1. AMD Ryzen Threadripper Pro unterstützen 2 TByte RAM
  2. Ryzen 3000XT im Test Schneller dank Xtra Transistoren
  3. Ryzen 4000 (Vermeer) "Zen 3 erscheint wie geplant 2020"

PB60: Adminpasswort auf Asus-Rechnern wirkungslos
PB60
Adminpasswort auf Asus-Rechnern wirkungslos

Rechner aus der PB60-Serie hätten sehr leicht unbrauchbar gemacht werden können.
Eine Recherche von Hanno Böck

  1. Asus 43-Zoll-Monitor hat HDMI 2.1 für die kommenden Konsolen
  2. ROG Phone 3 im Test Das Hardware-Monster nicht nur für Gamer
  3. Laptop Asus startet Verkauf des Gaming-Notebooks mit zwei Screens

Sysadmin Day 2020: Du kannst doch Computer ...
Sysadmin Day 2020
Du kannst doch Computer ...

Das mit den Computern könne er vergessen, sagte ihm das Arbeitsamt nach dem Schulabschluss. Am Ende wurde Michael Fischer aber doch noch Sysadmin, zur allerbesten Sysadmin-Zeit.
Ein Porträt von Boris Mayer


    1. Corona: Gewerkschaft sieht Schulen schlecht digital ausgestattet
      Corona
      Gewerkschaft sieht Schulen schlecht digital ausgestattet

      In vielen Bundesländern beginnt die Schule wieder, die zuständige Gewerkschaft erwartet ein Jahr mit "viel Improvisation". Grund sei die schlechte digitale Ausstattung.

    2. Nach Microsoft: Auch Twitter soll an Tiktok interessiert sein
      Nach Microsoft
      Auch Twitter soll an Tiktok interessiert sein

      Neben Microsoft soll auch Twitter überlegen, die chinesische Social-Media-App zu übernehmen - mehr finanzielle Ressourcen dürfte aber Microsoft haben.

    3. Smartphone: Huawei gehen die SoCs aus
      Smartphone
      Huawei gehen die SoCs aus

      Huawei hat bestätigt, dass das Unternehmen keine High-End-Chipsätze mehr für seine Smartphone-Produktion hat. Grund ist das US-Embargo.


    1. 13:37

    2. 12:56

    3. 12:01

    4. 14:06

    5. 13:41

    6. 12:48

    7. 11:51

    8. 19:04