1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Botnet Windigo: 10.000…

Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

  1. Thema

Neues Thema Ansicht wechseln


  1. Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: sirbender 19.03.14 - 17:05

    Was glaubt ihr wieviel % der Sicherheitsluecken ist auf die Verwendung von C/C++ zurueckzufuehren?

    Es geht ja nicht nur um die Sprache sondern auch um die Toolchains. C/C++ ist sehr komplex und die Toolchains muessen dem gerecht werden. Man hat also 2 komplexe Baustellen die zu Fehlern einladen. Das sieht man auch bei dem letzten Apple Goto-Fail.

    Klar werden jetzt wieder viele sagen, das Problem sitzt hinter der Tastatur. Aber ich finde es einfach zu billig die Probleme immer auf die Entwickler abzuwaelzen. Ich hoffe selbst die groessten Vertreter von C/C++ werden zugeben, dass ein und derselbe Entwickler weniger Fehler machen wuerde wenn die Sprache und Toolchain nicht so komplex und eine andere Sprache/Toolchain verwendet werden koennte die viele Fehler erst gar nicht zulaesst.

    Vielleicht sollte man sich mal Gedanken machen ein OS zu entwickeln, dass einen minimalen Kern hat, der mit C/C++ geschrieben und extrem geaudited wird und dann das OS in einer rein auf Sicherheit ausgerichteten Sprache umsetzen. Android kommt da schon ein bischen dran, aber es ist doch etwas anderes und absolut nicht auf Sicherheit ausgerichtet. Man nahm damals was existierte, open source war und gut lief.

    Bis auf Spiele sehe ich absolut keine Notwendigkeit Entwickler mit C/C++ in Kontakt treten zu lassen. Und selbst da waere der Performance-Gewinn oft zu verschmerzen.

    Was denkt ihr?

  2. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: Wurzelgnom 19.03.14 - 17:37

    Naja, klingt erstmal nach OpenBSD (oder eben FreeBSD/PC-BSD) oder eben auch GNU/Hurd (hüstel)...

    Aber eigentlich sind die Probleme viel Grundlegender, z.B. in den Registern der Hardware/CPU, Unverschlüsselter Speicherinhalt usw...

  3. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: jack_torrance 19.03.14 - 17:49

    sirbender schrieb:
    --------------------------------------------------------------------------------
    > Vielleicht sollte man sich mal Gedanken machen ein OS zu entwickeln, dass
    > einen minimalen Kern hat, der mit C/C++ geschrieben und extrem geaudited
    > wird und dann das OS in einer rein auf Sicherheit ausgerichteten Sprache
    > umsetzen. Android kommt da schon ein bischen dran, aber es ist doch etwas
    > anderes und absolut nicht auf Sicherheit ausgerichtet. Man nahm damals was
    > existierte, open source war und gut lief.
    Das sehe ich auch so: Android ist überhaupt nicht auf Sicherheit ausgerichtet.
    Die Architektur ist ein Spaß-System, das in naher Zukunft wohl mit immer mehr Problemen zu kämpfen haben wird (private unverbindliche Prognose!).
    Mich würde interessieren, was Sie mit "und dann das OS in einer rein auf Sicherheit ausgerichteten Sprache" meinen. Welche Sprache(n) wäre(n) das?
    Oder sind Neuentwicklungen mit komplett anderer Denkweise nötig (Versuche dahingehend gab es ja schon etliche)?

  4. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: M.P. 19.03.14 - 18:05

    Und wie genau soll die nicht-Verwendung von C/C++ gegen gestohlene Zugangsdaten helfen?

  5. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: kosovafan 19.03.14 - 18:19

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Und wie genau soll die nicht-Verwendung von C/C++ gegen gestohlene
    > Zugangsdaten helfen?


    Wahrscheinlich weil es das herauskommende Programm dann die Logins verlangen.


    Mfg

  6. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: tN0 19.03.14 - 18:58

    Bin kein Experte aber waren Singularity/Midori nicht Ansätze von MS ein modernes Betriebssystem komplett neu zu denken und grundsätzlich sicherer zu machen?

  7. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: sirbender 19.03.14 - 21:31

    @tN0: Ja. Singularity war ein guter Ansatz. Wie gesagt, etwas aehnliches brauchen wir halt als "Volks-OS" ;)

    @M.P.: gestohlene Zugangsdaten. Was meinst du wohl wie die gestohlen wurden? Taschendiebstahl?
    Da wird irgendeine Sicherheitsluecke bestanden haben ueber die die Passwoerter entwendet wurden.

    @jack_torrance: Naja...Android ist schon uebel im Moment, aber das Problem ist nicht intrinsisch. Jedenfalls werden normale Anwendungsentwickler nicht auf C/C++ losgelassen. Das ist schonmal ein guter Schritt. Java ist natuerlich ein Schritt in die richtige Richtung...da geht aber bestimmt noch mehr. Und ja, eine eigene Sprache mit Design auf Sicherheit waere ein richtiger Schritt. Da koennte man auf sehr vielen Ebenen optimieren. Z.B. koennte man existierende Sprachen nehmen und anhand von tatsaechlich aufgetretenen Sicherheitsluecken aus haeufig genutzter Software schauen wessen Schuld es denn war und ob man vielleicht an der Sprache etwas aendern koennte um dies komplett zu unterbinden. Generell sollte gelten, je einfacher die Sprache desto besser. C++ ist da ein Negativbeispiel. Denkbar waere auch eine Optimierung der Sprache aufs Testen hin. Entweder sollten Test einfacher oder gleich ohne Zutun des Entwicklers sinnvoll automatisierbar sein. Das waren jetzt nur zwei Beispiele. Es gibt sehr viel mehr was man machen koennte.

    Wie erwaehnt, ist es auch nicht nur die Sprache. Es geht auch um die ganze Toolchain. Da ist C/C++ wirklich schrecklich. Noch gefaehrlicher und zeitraubender als die Sprache. Deswegen hab ich mich aus diesem Bereich auch mehr oder weniger verabschiedet.

    C/C++ samt Toolchains ist einfach zu komplex und zu "frei". Jeder Entwickler kann praktisch alles machen aber dann halt leicht auch alles falsch machen.

    Generell machen sich wenige Gedanken ueber Sicherheit oder was wir da eigentlich nutzen. Ein gutes Beispiel ist ChromeOS. Da laeuft ja praktisch alles im Browser. Kann gut sein der Ansatz, kann auch schlecht sein. Die Frage ist auch wie komplex eine Sache ist. Komplexitaet laeuft bekanntlich Hand in Hand mit dem Thema Sicherheit.



    1 mal bearbeitet, zuletzt am 19.03.14 21:33 durch sirbender.

  8. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: Zwangsangemeldet 20.03.14 - 06:24

    Letzten Endes gehst Du hier aber immer Kompromisse ein, vor allem die Freiheit des Entwicklers bzw. Anwenders, alles was möglich ist, mit dem System zu machen (ja selbst, es kaputt zu machen). Das ist jedoch inakzeptabel.

  9. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: tendenzrot 20.03.14 - 08:13

    Natürlich kann man sich Gedanken über Betriebssysteme machen. Auch kann man wie schon tausende Male zuvor durchgekaut, über Programmiersprachen philosophieren.

    Das ändert letztlich nichts hieran:

    > Die Betreiber des Botnets verschaffen sich über gestohlene Zugangsdaten
    > Zugriffe auf die Server.

  10. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: tendenzrot 20.03.14 - 08:16

    Nee, klar. die BSDs haben eine interne Logik die geklaute Zugangsdaten erkennt. Tsss, tsss, tsss.

  11. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: M.P. 20.03.14 - 11:26

    ... und die hat man ja durch den Diebstahl

  12. Re: Vielleicht sollte man sich langsam mal Gedanken ueber Betriebssysteme machen..?

    Autor: chrulri 20.03.14 - 18:49

    Das einzige was etwas bezüglich gestohlenen Zugangsdaten ändern würde, wäre eine 2-Level-Authentication. Die Lösung wäre es zwar nicht, würde den Angriff aber massivst erschweren, da man nicht nur User/Passwort sondern auch noch Zugriff auf das Gerät/den Dienst benötigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. RWE Supply & Trading GmbH, Essen
  2. Hornbach-Baumarkt-AG, Bornheim bei Landau / Pfalz
  3. Fresenius Netcare GmbH, Bad Homburg
  4. Kreisausschuss Wetteraukreis, Friedberg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (Grafikkarten, Mainboards, Monitore, SSDs uvm. kaufen und jeweils Steam-Guthaben dazubekommen)
  2. 387,99€
  3. (u. a. ATH-ADG1X Gaming-Headset für 149,99€, ATH-M50XGM Monitor-Kopfhörer für 104,99€)
  4. (u. a. Fractal Design Venturi Gehäuselüfter je 12,99€, Acer ED270RP Gaming-MOnitor für 229...


Haben wir etwas übersehen?

E-Mail an news@golem.de