1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Crypto Wars: Seehofer will Messenger…

https://signal.org/de/

Am 17. Juli erscheint Ghost of Tsushima; Assassin's Creed Valhalla und Watch Dogs Legions konnten wir auch gerade länger anspielen - Anlass genug, um über Actionspiele, neue Games und die Next-Gen-Konsolen zu sprechen! Unser Chef-Abenteurer Peter Steinlechner stellt sich einer neuen Challenge: euren Fragen.
Er wird sie am 16. Juli von 14 Uhr bis 16 Uhr beantworten.
  1. Thema

Neues Thema Ansicht wechseln


  1. https://signal.org/de/

    Autor: zenker_bln 25.05.19 - 17:01

    https://signal.org/de/

  2. Re: https://signal.org/de/

    Autor: ruben_harkley 25.05.19 - 20:55

    Der Messenger, bei dem die „Entschlüssellung“ nicht gehen kann ist „Signal“.

    Grund: Signal ist Open Source und damit auch die Sicherheit.
    Würde man also eine „Lücke“ einbauen, dann wäre man zumindest verpflichtet diesen Code zu aktualisieren.

    Wie soll das mit einer absichtlichen Sicherheitslücke bitte gehen?
    Würde man das nicht veröffentlichen, dann wäre dies eine Verletzung der Lizenz.

    Tja... dieses Dilemma kann man so nicht lösen.

  3. Re: https://signal.org/de/

    Autor: unbuntu 25.05.19 - 22:09

    ruben_harkley schrieb:
    --------------------------------------------------------------------------------
    > Grund: Signal ist Open Source und damit auch die Sicherheit.
    > Würde man also eine „Lücke“ einbauen, dann wäre man zumindest
    > verpflichtet diesen Code zu aktualisieren.

    Nicht unbedingt. Worüber viele nie nachdenken ist, dass nur der unkompilierte OpenSource-Code wirklich OpenSource ist. Die fertig kompilierten Pakete, die sich alle installieren, sind das aber nicht. Da kann was anderes drin stehen und keiner merkts.

    "Linux ist das beste Betriebssystem, das ich jemals gesehen habe." - Albert Einstein

  4. Re: https://signal.org/de/

    Autor: Eheran 25.05.19 - 23:17

    >Da kann was anderes drin stehen und keiner merkts.
    Gäbe es doch nur irgendeine Möglichkeit, den "richtigen" kompilierten Code von einem ggf. manipulierten zu unterscheiden... dass daran noch keiner gedacht hat! Das ist doch so ein offensichtliches Problem.

    Aber zum Glück gibt es noch Hashes.

  5. Re: https://signal.org/de/

    Autor: sofries 26.05.19 - 03:54

    Ihr unterschätzt massiv wie leicht es für Profis ist Sicherheitslücken oder Backdoors einzubauen, ohne dass es im Code klar ersichtlich ist. Obfuscation ist bei sowas immer eher Effekt und im Zweifelsfall hat man plausible deniability wenn das gut läuft.

  6. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:24

    Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

  7. Re: https://signal.org/de/

    Autor: Walchy 26.05.19 - 10:36

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > Dann kannst du ja sicherlich Beispiele zitieren, wo sowas passiert ist?

    https://en.m.wikipedia.org/wiki/Dual_EC_DRBG

    “According to the New York Times story, the NSA spends $250 million per year to insert backdoors in software and hardware as part of the Bullrun program.[10]”

    Grüsse,

    Walchy

  8. Re: https://signal.org/de/

    Autor: Eheran 26.05.19 - 10:47

    >Despite wide public criticism, including a potential backdoor, for seven years it was one of the four (now three) CSPRNGs standardized in NIST SP 800-90A as originally published circa June 2006, until it was withdrawn in 2014.

    Jup, nur weil eine US-Institution etwas legitimiert, heißt das nicht, dass es sicher ist. Darauf sollte man auch selbst kommen können.
    Ich würde mich weiterhin über Beispiele freuen, wo Backdors in irgendwelche Software gepackt wurden. Also etwa in Linux oder sowas, womit man sehr viele wichtige Ziele kompromitieren könnte.



    1 mal bearbeitet, zuletzt am 26.05.19 10:48 durch Eheran.

  9. Re: https://signal.org/de/

    Autor: async 26.05.19 - 16:30

    Hier waere schonmal einer:

    https://www.zdnet.com/article/linux-mint-website-hacked-malicious-backdoor-version/

    Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte nicht mehr.
    In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch mal gemacht),

    Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen. D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut werden. Das ist allerdings ein komplexeres Problem als es klingt.

  10. Re: https://signal.org/de/

    Autor: FreiGeistler 27.05.19 - 07:41

    async schrieb:
    --------------------------------------------------------------------------------
    > Hier waere schonmal einer:
    >
    > www.zdnet.com
    >
    > Ich erinnere mich an ein oder zwei weitere aber ich weiss die Produkte
    > nicht mehr.
    > In dem Fall sind das die, die tatsaechlich entdeckt wurden und auch
    > publiziert wurden. Die Dunkelziffer ist dementsprechend eher unbekannt.

    So ein Hack für Malware, der nach ein paar Tagen auffällt, ist ja wohl eine andere Kategorie als ein stabiles Backdoor.

    > Verhaeltnismaessig oft hat man das dann bei Adwareherstellern, die
    > modifizierte Installer auf Drittseiten hochladen (sourceforge hat das auch
    > mal gemacht),

    > Wenn der Hash auf der Downloadseite auch modifiziert wird, bringt es
    > natuerlich nichts. Debian versucht das ueber reproducible Builds zu loesen.
    > D.h. das was auf deren Servern gebaut wird, kann auch genauso lokal gebaut
    > werden. Das ist allerdings ein komplexeres Problem als es klingt.

    Reproducible Builds sind schwierig.
    Aber was du beschreibst ist mit git clone und make erledigt.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Phoenix Contact Electronics GmbH, Bad Pyrmont
  2. Universitätsklinikum Frankfurt, Frankfurt am Main
  3. rhenag Rheinische Energie Aktiengesellschaft, Siegburg
  4. über duerenhoff GmbH, Raum Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Warhammer 40,00€0: Dawn of War III für 8,99€, Yakuza Kiwami 2 für 12,99€, Company of...
  2. 5,99€
  3. 67,89€


Haben wir etwas übersehen?

E-Mail an news@golem.de