Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Crypto Wars: Seehofer will Messenger…

https://signal.org/de/

  1. Thema

Neues Thema Ansicht wechseln


  1. https://signal.org/de/

    Autor: zenker_bln 25.05.19 - 17:01

    https://signal.org/de/

  2. Re: https://signal.org/de/

    Autor: ruben_harkley 25.05.19 - 20:55

    Der Messenger, bei dem die „Entschlüssellung“ nicht gehen kann ist „Signal“.

    Grund: Signal ist Open Source und damit auch die Sicherheit.
    Würde man also eine „Lücke“ einbauen, dann wäre man zumindest verpflichtet diesen Code zu aktualisieren.

    Wie soll das mit einer absichtlichen Sicherheitslücke bitte gehen?
    Würde man das nicht veröffentlichen, dann wäre dies eine Verletzung der Lizenz.

    Tja... dieses Dilemma kann man so nicht lösen.

  3. Re: https://signal.org/de/

    Autor: unbuntu 25.05.19 - 22:09

    ruben_harkley schrieb:
    --------------------------------------------------------------------------------
    > Grund: Signal ist Open Source und damit auch die Sicherheit.
    > Würde man also eine „Lücke“ einbauen, dann wäre man zumindest
    > verpflichtet diesen Code zu aktualisieren.

    Nicht unbedingt. Worüber viele nie nachdenken ist, dass nur der unkompilierte OpenSource-Code wirklich OpenSource ist. Die fertig kompilierten Pakete, die sich alle installieren, sind das aber nicht. Da kann was anderes drin stehen und keiner merkts.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: https://signal.org/de/

    Autor: Eheran 25.05.19 - 23:17

    >Da kann was anderes drin stehen und keiner merkts.
    Gäbe es doch nur irgendeine Möglichkeit, den "richtigen" kompilierten Code von einem ggf. manipulierten zu unterscheiden... dass daran noch keiner gedacht hat! Das ist doch so ein offensichtliches Problem.

    Aber zum Glück gibt es noch Hashes.

  5. Re: https://signal.org/de/

    Autor: sofries 26.05.19 - 03:54

    Ihr unterschätzt massiv wie leicht es für Profis ist Sicherheitslücken oder Backdoors einzubauen, ohne dass es im Code klar ersichtlich ist. Obfuscation ist bei sowas immer eher Effekt und im Zweifelsfall hat man plausible deniability wenn das gut läuft.

  6. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:24

    Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

  7. Re: https://signal.org/de/

    Autor: Walchy 26.05.19 - 10:36

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

    https://en.m.wikipedia.org/wiki/Dual_EC_DRBG

    “According to the New York Times story, the NSA spends $250 million per year to insert backdoors in software and hardware as part of the Bullrun program.[10]”

    Grüsse,

    Walchy

  8. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:47

    >Despite wide public criticism, including a potential backdoor, for seven years it was one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa June 2006, until it was withdrawn in 2014.

    Jup, nur weil eine US-Institution etwas legitimiert, heißt das nicht, dass es sicher ist. Darauf sollte man auch selbst kommen können.
    Ich würde mich weiterhin über Beispiele freuen, wo Backdors in irgendwelche Software gepackt wurden. Also etwa in Linux oder sowas, womit man sehr viele wichtige Ziele kompromitieren könnte.



    1 mal bearbeitet, zuletzt am 26.05.19 10:48 durch Eheran.

  9. Re: https://signal.org/de/

    Autor: async 26.05.19 - 16:30

    Hier waere schonmal einer:

    https://www.zdnet.com/article/linux-mint-website-hacked-malicious-backdoor-version/

    Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte nicht mehr.
    In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch mal gemacht),

    Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen. D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut werden. Das ist allerdings ein komplexeres Problem als es klingt.

  10. Re: https://signal.org/de/

    Autor: FreiGeistler 27.05.19 - 07:41

    async schrieb:
    --------------------------------------------------------------------------------
    > Hier waere schonmal einer:
    >
    > www.zdnet.com
    >
    > Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte
    > nicht mehr.
    > In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch
    > publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    So ein Hack für Malware, der nach ein paar Tagen auffällt, ist ja wohl eine andere Kategorie als ein stabiles Backdoor.

    > Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die
    > modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch
    > mal gemacht),

    > Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es
    > natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen.
    > D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut
    > werden. Das ist allerdings ein komplexeres Problem als es klingt.

    Reproducible Builds sind schwierig.
    Aber was du beschreibst ist mit git clone und make erledigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. novacare GmbH, Bad Dürkheim
  2. KfW Bankengruppe, Berlin
  3. Hays AG, Stuttgart
  4. BWI GmbH, Bonn, Köln

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 17,99€
  3. 69,99€ (Release am 21. Februar 2020, mit Vorbesteller-Preisgarantie)
  4. 39,99€ (Release am 3. Dezember)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Cyberangriffe: Attribution ist wie ein Indizienprozess
Cyberangriffe
Attribution ist wie ein Indizienprozess

Russland hat den Bundestag gehackt! China wollte die Bayer AG ausspionieren! Bei großen Hackerangriffen ist oft der Fingerzeig auf den mutmaßlichen Täter nicht weit. Knallharte Beweise dafür gibt es selten, Hinweise sind aber kaum zu vermeiden.
Von Anna Biselli

  1. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken
  2. Internet of Things Neue Angriffe der Hackergruppe Fancy Bear
  3. IT-Security Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden

IT-Sicherheit: Auch kleine Netze brauchen eine Firewall
IT-Sicherheit
Auch kleine Netze brauchen eine Firewall

Unternehmen mit kleinem Geldbeutel verzichten häufig auf eine Firewall. Das sollten sie aber nicht tun, wenn ihnen die Sicherheit ihres Netzwerks wichtig ist.
Von Götz Güttich

  1. Anzeige Wo Daten wirklich sicher liegen
  2. Erasure Coding Das Ende von Raid kommt durch Mathematik
  3. Endpoint Security IT-Sicherheit ist ein Cocktail mit vielen Zutaten

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

  1. BDI: Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre
    BDI
    Industrie für schnelle 5G-Errichtung statt Vertrauensschwüre

    Die deutsche Industrie will keine Vertrauenswürdigkeitserklärung von den 5G-Ausrüstern einholen müssen. Diese Erklärungen seien wirkungslos, gefragt sei dagegen Cyber-Resilienz.

  2. Watch Parties: Twitch ermöglicht Streamern Filmabende mit Followern
    Watch Parties
    Twitch ermöglicht Streamern Filmabende mit Followern

    Gemeinsam im kleinen oder großen Kreis einen Spiefilm oder eine TV-Serie per Streaming anschauen: Das können Influencer künftig auf Twitch - vorerst allerdings nur in den USA.

  3. Smartspeaker: Belauschen mit Alexa- und Google-Home-Apps
    Smartspeaker
    Belauschen mit Alexa- und Google-Home-Apps

    Mit verschiedenen Tricks gelang es Sicherheitsforschern, Apps für Google Home und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps überstanden den Review-Prozess von Google und Amazon.


  1. 18:53

  2. 17:38

  3. 17:23

  4. 16:54

  5. 16:39

  6. 15:47

  7. 15:00

  8. 13:27