1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › E-Mail-Verschlüsselung: PGP und S…
  6. Thema

Sicherheitsforscher zertrümmern Sicherheit

Expertentalk zu DDR5-Arbeitsspeicher am 7.7.2020 Am 7. Juli 2020 von 15:30 bis 17:00 Uhr wird Hardware-Redakteur Marc Sauter eure Fragen zu DDR5 beantworten.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Tuxgamer12 14.05.18 - 15:17

    Kenne ich das nicht schon irgendwo her? Ach ja, richtig:

    https://forum.golem.de/kommentare/security/meltdown-und-spectre-dann-sind-wir-performancemaessig-wieder-am-ende-der-90er/kein-entdecker-sondern-entwickler-von-angriffsvektoren/115115,5000523,5000523,read.html#msg-5000523

    Ja, wir wissen mittlerweile, dass wenn es nach dir gänge, wir uns alle die Augen zuhalten würden:

    > Ich sehe keine Sicherheitslücke! Ich bin glücklich!

    Ich verrate dir aber mal etwas: Da draußen gibt es Leute, die haben keine guten Absichten. Und die schauen nicht einfach weg, wenn es Sicherheitslücken gibt!

    Und jetzt stelle ich dir eine einzige Frage. Was ist besser:

    * Wir schließen JETZT die Lücke ein und für alle mal

    * Wir suchen keine Lücken, lassen die Lücken ungepatcht und warten, bis ein Krimineller sie findet (nur eine Frage der Zeit). Und stehen dann blöd da, weil auf einmal der Kriminelle den Zeitvorsprung hat und die Lücke problemlos ausnutzen kann, bis irgendwann irgedjemand was merkt.

  2. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 15:19

    DragonHunter schrieb:
    --------------------------------------------------------------------------------

    >
    > Wenn die Hersteller nicht innerhalb von mehr als 5 Monaten was tun, dann
    > muss das irgendwann genug Zeit sein... Es gibt eigentlich, afaik, nur eine
    > 90-Tage-Absprache zwischen Sicherheitsforschern und Herstellern.
    > Selbst wenn wir davon ausgehen, dass die CVE am 31.12.2017 erteilt wurde,
    > sind nicht nur 90 Tage sondern mehr als 150 Tage ins Land gegangen.
    > Ein Unternehmen, das bis dahin nicht reagiert hat, gehört streng genommen
    > boykottiert, weil es sehr anschaulich dargelegt hat, dass es kein Interesse
    > an der Sicherheit seiner Nutzer hat.

    Warten wir mal ab ob Microsoft Office Outlook gut genug reagiert hat.
    Und Thunderbird, Geary, und was es da noch alles gibt.

    Neben den ausgewiesen IT-Spezialisten gibt noch eine ganze Menge andere Spezialisten die halt IT dafür verweden um ihr Spezialistentum in ihrem Beruf/ihrer Tätigkeit nutzbringend einzusetzen. Die tun sich schwer das alles richtig einzuordnen und abzuschätzen - sie haben halt ihren Job zu erledigen.

    Ich sorge mich um Betriebe und Unternehmen die sehr ernsthaft geschädigt werden könnten wenn sich plötzlich solche potentiellen Abgründe auftun.

    Dein Argument, dass z.B. Microsoft mit Outlook innerhalb der von die genannten Frist hätte reagieren müssen, hat nach wie vor Bestand.

    Was aber einem (kleineren) Unternehmen, welches plötzlich "über Nacht" seine Wettbewerbsposition verliert weil interne Angelegenheit öffentlich werden, oder einem Konkurrenten zugänglich werden, hilft das nicht viel. Die sind dann weg vom Fenster.

    Du hast nach wie vor prinzipiell Recht, das (kleine) Unternehmen ist dann jedoch weg.
    Survival of the IT-fittest? Selber Schuld, weg mit Dir?

  3. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 15:22

    Onsdag schrieb:
    --------------------------------------------------------------------------------
    > cicero schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Aus der SZ:
    > Der SZ-Artikel glänzt vor allem mit reißerischen Übertreibungen und
    > falschen Schlußfolgerungen aus wenigen richtigen Fakten.

    Gar nicht mal so ungewöhnlich dieser Tage.
    Die SZ ist da noch sehr gemäßigt.

    SPON und auch die Zeit sind kaum noch auszuhalten.

    .

  4. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: DragonHunter 14.05.18 - 15:25

    cicero schrieb:
    --------------------------------------------------------------------------------
    >
    > Warten wir mal ab ob Microsoft Office Outlook gut genug reagiert hat.
    > Und Thunderbird, Geary, und was es da noch alles gibt.
    >
    Ja, warten wir mal deren Statement ab, was ihnen die Sicherheit der Nutzer wert ist. Interessiert mich auch.

    > Neben den ausgewiesen IT-Spezialisten gibt noch eine ganze Menge andere
    > Spezialisten die halt IT dafür verweden um ihr Spezialistentum in ihrem
    > Beruf/ihrer Tätigkeit nutzbringend einzusetzen. Die tun sich schwer das
    > alles richtig einzuordnen und abzuschätzen - sie haben halt ihren Job zu
    > erledigen.
    Sicherheitslücken finden und eliminieren ist nicht nutzbringend? Komische Vorstellung ist das. Die werden weite Teile der IT-Welt so nicht teilen.
    >
    > Ich sorge mich um Betriebe und Unternehmen die sehr ernsthaft geschädigt
    > werden könnten wenn sich plötzlich solche potentiellen Abgründe auftun.
    >
    Da muss man sich drum sorgen, keine Frage, aber wie lange soll man eine bekannte Sicherheitslücke geheim halten? Bis die Kriminellen sie aktiv ausnutzen und der Schaden da ist? Oder proaktiv vorgehen und faule Unternehmen damit unter Druck setzen, dass sie gefälligst tun, wofür sie bezahlt werden?

    > Was aber einem (kleineren) Unternehmen, welches plötzlich "über Nacht"
    > seine Wettbewerbsposition verliert weil interne Angelegenheit öffentlich
    > werden, oder einem Konkurrenten zugänglich werden, hilft das nicht viel.
    > Die sind dann weg vom Fenster.
    >
    Schwarzmalerei, wenn du mich fragst...
    > Du hast nach wie vor prinzipiell Recht, das (kleine) Unternehmen ist dann
    > jedoch weg.
    > Survival of the IT-fittest? Selber Schuld, weg mit Dir?
    Der Fehler liegt dann in der Ignoranz der Nutzer, eine Firma zu meiden, die so offen zeigt, was ihr die Sicherheit der Nutzer wert ist. Wenn, sagen wir, Microsoft so lange pennt, wäre es nur konsequent, Outlook zu boykottieren. (Mache ich eh schon, weil es eine Katastrophe ist) Dann geht in letzter Konsequenz Microsoft kaputt und die haben es dann auch verdient.

  5. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 15:38

    DragonHunter schrieb:
    --------------------------------------------------------------------------------
    > cicero schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > >
    > > Warten wir mal ab ob Microsoft Office Outlook gut genug reagiert hat.
    > > Und Thunderbird, Geary, und was es da noch alles gibt.
    > >
    > Ja, warten wir mal deren Statement ab, was ihnen die Sicherheit der Nutzer
    > wert ist. Interessiert mich auch.
    >
    > > Neben den ausgewiesen IT-Spezialisten gibt noch eine ganze Menge andere
    > > Spezialisten die halt IT dafür verweden um ihr Spezialistentum in ihrem
    > > Beruf/ihrer Tätigkeit nutzbringend einzusetzen. Die tun sich schwer das
    > > alles richtig einzuordnen und abzuschätzen - sie haben halt ihren Job zu
    > > erledigen.
    > Sicherheitslücken finden und eliminieren ist nicht nutzbringend? Komische
    > Vorstellung ist das. Die werden weite Teile der IT-Welt so nicht teilen.
    > >
    > > Ich sorge mich um Betriebe und Unternehmen die sehr ernsthaft geschädigt
    > > werden könnten wenn sich plötzlich solche potentiellen Abgründe auftun.
    > >
    > Da muss man sich drum sorgen, keine Frage, aber wie lange soll man eine
    > bekannte Sicherheitslücke geheim halten? Bis die Kriminellen sie aktiv
    > ausnutzen und der Schaden da ist? Oder proaktiv vorgehen und faule
    > Unternehmen damit unter Druck setzen, dass sie gefälligst tun, wofür sie
    > bezahlt werden?

    Die Sicherheitslücken müssen ja erst mal da sein.
    Und damit sie "da" sind, müssen erstmal recht viele Ressourcen zum Einsatz kommen.
    Die hat nicht jeder. Und nicht jeder hat die passende Idee.

    Und nach meinem Geschmack zu oft sorgen erst Sicherheitsforscher dafür dass Sicherheitslücken "da sind". Die schaffen diese Sicherheitslücken, mit enormen Aufwand. Und sie schaffen auch die Grundlage dafür, dass Kriminellen ein Werkzeug in die Hand gegeben wird.

    Also: Unter Umständen schaffen diverse Sicherheitsforscher erst das Problem welches sie vorgeben beseitigen zu wollen. Nicht immer, aber wohl immer öfter.

    Und wenn Sicherheitsforscher, die durch Steuergelder finanziert und mit großen zeitlichen Ressourcen ausgestattet sind, Sicherheitslücken erst aufreißen und dann nutzbar machen und damit - unter Umständen - große Schäden ermöglichen, ja was ist dann?



    >
    > > Was aber einem (kleineren) Unternehmen, welches plötzlich "über Nacht"
    > > seine Wettbewerbsposition verliert weil interne Angelegenheit öffentlich
    > > werden, oder einem Konkurrenten zugänglich werden, hilft das nicht viel.
    > > Die sind dann weg vom Fenster.
    > >

    > Schwarzmalerei, wenn du mich fragst...

    Hmmm, weiß ich nicht. Vielleicht gibt es Infos darüber.
    DAS wäre auch mal ein Thema für golem/heise.

    > > Du hast nach wie vor prinzipiell Recht, das (kleine) Unternehmen ist
    > dann
    > > jedoch weg.
    > > Survival of the IT-fittest? Selber Schuld, weg mit Dir?

    > Der Fehler liegt dann in der Ignoranz der Nutzer, eine Firma zu meiden, die
    > so offen zeigt, was ihr die Sicherheit der Nutzer wert ist. Wenn, sagen
    > wir, Microsoft so lange pennt, wäre es nur konsequent, Outlook zu
    > boykottieren. (Mache ich eh schon, weil es eine Katastrophe ist) Dann geht
    > in letzter Konsequenz Microsoft kaputt und die haben es dann auch verdient.

    Puuuh, bis Microsoft den Bach runtergeht, das dauert noch eine Weile.
    Darauf zu warten, dass kann sich wahrscheinlich keiner leisten ...

    Na ja, und wie gesagt, die Nutzer von zu kritisierenden Produkten
    sind ja meist Arbeitnehmer. Und die leiden, wenn was den Bach runtergeht, warum auch immer...

  6. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: DragonHunter 14.05.18 - 15:44

    cicero schrieb:
    --------------------------------------------------------------------------------
    > Die Sicherheitslücken müssen ja erst mal da sein.
    > Und damit sie "da" sind, müssen erstmal recht viele Ressourcen zum Einsatz
    > kommen.
    > Die hat nicht jeder. Und nicht jeder hat die passende Idee.
    >
    > Und nach meinem Geschmack zu oft sorgen erst Sicherheitsforscher dafür dass
    > Sicherheitslücken "da sind". Die schaffen diese Sicherheitslücken, mit
    > enormen Aufwand. Und sie schaffen auch die Grundlage dafür, dass
    > Kriminellen ein Werkzeug in die Hand gegeben wird.
    >
    > Also: Unter Umständen schaffen diverse Sicherheitsforscher erst das Problem
    > welches sie vorgeben beseitigen zu wollen. Nicht immer, aber wohl immer
    > öfter.
    >
    > Und wenn Sicherheitsforscher, die durch Steuergelder finanziert und mit
    > großen zeitlichen Ressourcen ausgestattet sind, Sicherheitslücken erst
    > aufreißen und dann nutzbar machen und damit - unter Umständen - große
    > Schäden ermöglichen, ja was ist dann?
    >
    Deine Grundannahme ist falsch.
    Sicherheitsforscher erzeugen keine Sicherheitslücken, sie decken sie auf.
    Erzeugt wurden sie von Programmierern.
    Bei der verdrehten Grundannahme muss man auf den Rest nicht eingehen.
    Wenn die Grundannahme falsch ist, kann ich alles "beweisen".

    > Puuuh, bis Microsoft den Bach runtergeht, das dauert noch eine Weile.
    > Darauf zu warten, dass kann sich wahrscheinlich keiner leisten ...

    Och, ein Software-Produkt zu wechseln sollte drin sein, bevor man wegen einer ungepatchen Sicherheitslücke bankrott geht. Das sollte einem seine Existenz wert sein.

  7. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 15:46

    DragonHunter schrieb:
    --------------------------------------------------------------------------------
    > cicero schrieb:
    > ---------------------------------------------------------------------------
    > ----->
    > > Vielleicht kann mit mit solchen "Erkenntnissen" auch anders umgehen,
    > > etwas behutsamer, so dass nicht noch mehr Schaden entsteht.
    >
    > Wie behutsam soll es noch gehen?

    Sehr gute Frage.
    Sollte mehr diskutiert werden.

    > Bis heute wusstest du nicht, dass es so eine Lücke gibt, obwohl sie schon
    > 2017 eine CVE-Nummer bekommen hat.

    Ich bin so was von harmlos ... :-) jedenfalls auf diesem Gebiet.

    > Die Geheimhaltung hat also bis heute gut funktioniert und die Firmen hatten
    > genug Zeit, was zu tun.

    Gut. "Die Firmen" sind dann definiert als Microsoft, Apple, Thunderbird, Geary (das ist keine Firma).


    > Wenn sie sich an die Spielregeln halten, sollte die Veröffentlichung kein
    > Problem sein.

    Wenn, dann.

    Wir werden sehen. Ich hoffe dem ist der Fall und Deine Wenn-Bedingung wurde/wird erfüllt.

    > Das Problem sind die Firmen und Hersteller, denen alles scheiß egal ist,
    > solange der Kunde zahlt.

    So isses.
    Mal sehen wieviele Kunden ihre Verträge für MS Office und Serverinstallationen kündigen wenn da mal wieder was daneben geht ...

    > Sie gefährden deine Sicherheit, nicht der
    > Forscher, der forscht, rausfindet und erst einmal nur die Firmen
    > informiert, damit diese reagieren können.

    Ist immer ein Mix, perfekt werden wir es nie hinkriegen. Lässt die Natur nicht zu.
    Wo ist die richtige Balance, das ist die Frage die sich immer wieder neu stellt.
    Und diese nötige Balance, die kann durchaus fluktuieren.

  8. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 15:55

    DragonHunter schrieb:
    --------------------------------------------------------------------------------

    > Deine Grundannahme ist falsch.
    > Sicherheitsforscher erzeugen keine Sicherheitslücken, sie decken sie auf.
    > Erzeugt wurden sie von Programmierern.

    Na ja, wie ich an anderer Stelle schon mal angemerkt habe,
    haben auch wir als Lebewesen unzählige Sicherheitslücken.
    In unserer Biologie, in unserer DNA.

    Muss man die alle aufdecken und öffentlich dokumentieren, einen Werkzeugkasten dafür schaffen, mit praktischen Beispielen?

    Auch in der Physik/Chemie bzw. der Technik gibt es wohl ein x-faches mehr an möglichen, schon immer da gewesenen Sicherheitslücken als positive, nutzbringende Anwendungsmöglichkeiten.

    Wenn wir die alle Sicherheitslücken aufdecken und absichern wollen, dann sind wir noch ziemlich lange beschäftigt. So beschäftigt, dass wir kaum was auf die Reihe bringen was unsere Gesellschaft vorwärts bringt. Verzwackte Angelegenheit.

    >
    >
    > Och, ein Software-Produkt zu wechseln sollte drin sein, bevor man wegen
    > einer ungepatchen Sicherheitslücke bankrott geht. Das sollte einem seine
    > Existenz wert sein.

    Ich empfehle gerne LibreOffice und auch Thunderbird.
    Sind die denn sicher? Welche sicheren Alternativen gibt es denn?

    .

  9. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: happymeal 14.05.18 - 16:10

    cicero schrieb:
    --------------------------------------------------------------------------------
    > Und trotzdem
    > müssen wir darüber diskutieren
    > ob Steuer-finanzierte Sicherheitsforscher
    > bedenkenlos Sicherheit öffentlich zertrümmern dürfen.

    Du meinst wir sollten also damit aufhören nach Sicherheitslücken zu suchen und einfach darauf hoffen dass sie niemand anderes findet? Ist das dein Ernst?

  10. wir?

    Autor: Anonymer Nutzer 14.05.18 - 17:04

    happymeal schrieb:
    --------------------------------------------------------------------------------
    > cicero schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und trotzdem
    > > müssen wir darüber diskutieren
    > > ob Steuer-finanzierte Sicherheitsforscher
    > > bedenkenlos Sicherheit öffentlich zertrümmern dürfen.
    >
    > Du meinst wir sollten also damit aufhören nach Sicherheitslücken zu suchen
    > und einfach darauf hoffen dass sie niemand anderes findet? Ist das dein
    > Ernst?

    Nein, das habe ich nicht gesagt.
    Siehe Beitrag.

    Und wer überhaupt ist "wir"?
    Bist Du das?
    Bist Du ein "Sicherheitsforscher"?

    .

  11. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: TheUnichi 14.05.18 - 17:10

    Eine riesige Wall-of-Text um zu sagen "Ist mir egal, interessiert mich auch nicht", obwohl ich dir sogar noch valide erklärt habe, warum man es nicht macht.

    Warum du dir extra Mehraufwand machst und auf deinem Telefon Zeilenumbrüche machst, obwohl diese nicht notwendig sind, da dein Telefon zu 100% auch Textfluss besitzt und dir sicher nicht deinen gesamten Text in eine lange Zeile haut, sei jetzt halt auch mal dahingestellt.

    Aber mach halt wie du willst. Wollte dich (eigentlich sogar recht höflich) drauf hinweisen, aber wenn du es halt weiter _falsch_ machen willst, wen interessiert's. Sieht halt aus, wie jemand, der das Schreiben am PC nicht beherrscht und dann fragt man sich, wo da der "IT-Profi" sein soll, wenn man nicht mal einfache Texteingabe richtig hinkriegt.

    Viel Spaß dabei und einen schönen Tag noch.

  12. Re: wir?

    Autor: Tuxgamer12 14.05.18 - 17:28

    cicero schrieb:
    --------------------------------------------------------------------------------
    > happymeal schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > cicero schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Und trotzdem
    > > > müssen wir darüber diskutieren
    > > > ob Steuer-finanzierte Sicherheitsforscher
    > > > bedenkenlos Sicherheit öffentlich zertrümmern dürfen.
    > >
    > > Du meinst wir sollten also damit aufhören nach Sicherheitslücken zu
    > suchen
    > > und einfach darauf hoffen dass sie niemand anderes findet? Ist das dein
    > > Ernst?
    >
    > Nein, das habe ich nicht gesagt.
    > Siehe Beitrag.

    Hast du wohl - zumindest lese ich den zitierten Text auch so.

    Sicherheitslücken aufdecken nennst du "Sicherheit zerschmettern"
    Darüber sollten "wir" diskutieren - also anders ausgedrückt hast du Probleme damit, wenn Sicherheitslücken aufgedeckt werden.

    Wenn du etwas anderes gemeint hast, wäre es wohl an dieser Stelle mehr als angebracht, und zu erläutern, was du eigentlich gemeint hast.

    > Und wer überhaupt ist "wir"?
    > Bist Du das?
    > Bist Du ein "Sicherheitsforscher"?

    Du hast doch mit dem "wir" angefangen!

  13. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 17:34

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > ... obwohl ich dir sogar noch valide erklärt habe, warum man es nicht macht.

    Wie bitte?
    Wie schätzt Du Dich denn ein?

    Puuuh.

    >
    >
    > Aber mach halt wie du willst.

    Das ist schon mal sichergestellt ;-)

    > Wollte dich (eigentlich sogar recht höflich)

    Das ist durchaus sehr wichtig!

    > drauf hinweisen, aber wenn du es halt weiter _falsch_ machen willst, wen
    > interessiert's.

    > Sieht halt aus, wie jemand, der das Schreiben am PC nicht
    > beherrscht

    Das ist eine Unterstellung, merkst Du das eigentlich?

    > und dann fragt man sich, wo da der "IT-Profi" sein soll, wenn
    > man nicht mal einfache Texteingabe richtig hinkriegt.
    >
    > Viel Spaß dabei und einen schönen Tag noch.

    Danke für den schönen Tag. Ebenfalls!

  14. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: mauorrizze 14.05.18 - 17:42

    Der von dir viel zitierte SZ-Artikel ist zwar inhaltlich größtenteils korrekt, aber Überschriften und Anreißer verfälschen die tatsächliche Lage, besonders zeigt sich das, wenn der Artikel von einem ÖR-Mitarbeiter als "Das war's dann wohl erstmal mit verschlüsselten E-Mails:" retweetet wird (@doktordab). Das würde ich ihm jetzt nicht mal groß vorwerfen, wenn man den Artikel gelesen hat. In den Primärquellen wie auch in der Realität wurde nichts "zertrümmert", das ist nur die Wiedergabe der Journalisten.

    Dein Vergleich mit biologischen Sicherheitslücken hinkt, denn die kann man nicht so einfach fixen. Schon heute können wir aber im E-Mail-Client das Häkchen setzen, keine HTML-Mails anzuzeigen, schon in den nächsten Tagen wird es Fixes in den Browser-Clients geben (Thunderbird z.B. hat den Code ja schon angepasst, nur noch nicht released) und es ist eine gute Chance den PGP-Standard von altem Ballast zu befreien um die Sicherheit insgesamt zu erhöhen. Nur bei S/MIME könnte ein Fix am Standard länger dauern, aber die das ist ja unabhängig von den meisten Clients.
    Um dich zu zitieren, "Bitte lege Beweise vor", in den nächsten Tagen, von dem immensen Schaden der angerichtet wird, das Problem wurde viel größer gemacht als es ist.

    Wo ich dir recht gebe, responsible disclosure ist nie perfekt. Den einen geht es immer zu schnell, den anderen nie schnell genug, viele disclosures unterliegen einem gewissen Hype (Logo + Website + Medienflut), so auch dieser. Aber man weiß halt selten, welche Lücken schon bekannt sind und welche nicht. Manche Unternehmen reagieren ohne Druck garnicht auf die bösen "Sicherheitsforscher", dann bleibt manchmal keine Wahl (aber das bessert sich). Ich persönlich bin aber meistens für "lieber zu früh" veröffentlichen, denn wenn dann ein Schaden auftritt, ob wegen oder trotz der disclosure, so ist er wenigstens öffentlich. Welcher Schaden durch nicht-öffentliche Sicherheitslücken auftreten, wissen manchmal hingegen nicht mal die Geschädigten, und wenn doch, wird es gerne geheim gehalten.

  15. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: Anonymer Nutzer 14.05.18 - 20:57

    mauorrizze schrieb:
    --------------------------------------------------------------------------------

    >
    > Dein Vergleich mit biologischen Sicherheitslücken hinkt, denn die kann man
    > nicht so einfach fixen.

    Biologische Sicherheitslücken kann man nicht fixen.
    Genau das ist das Problem.
    Zumindest aus meiner Sicht.

    Vielleicht auch ein Grund dafür dass man da nicht so erpicht darauf ist Angriffsvektoren plus Bauanleitung zu publizieren und für jedermann zugänglich zu machen.

    Obwohl da staatliche Akteuere da die eine oder andere Sicherheitslücke gefunden, dokumentiert und genutzt* haben schreckt man vor einer allgemeinen Publikation biologischer, chemischer und phyiskalischer Angriffsvektoren zurück.

    * gewisse Länder haben da in letzter Zeit ein echt schlechte Presse bekommen.

    > Um dich zu zitieren, "Bitte lege Beweise vor", in den nächsten Tagen, von
    > dem immensen Schaden der angerichtet wird, das Problem wurde viel größer
    > gemacht als es ist.

    Man wird wohl weder das eine noch das andere letztlich "beweisen" könnten.
    Und je nach Angriffsvektor wird sich das sicher auch unterschiedlich gestalten.


    > ...

    > Manche Unternehmen reagieren ohne Druck garnicht auf die
    > bösen "Sicherheitsforscher", dann bleibt manchmal keine Wahl (aber das
    > bessert sich).

    Das ist ein Problem, und es ist ein großes Problem.

    Noch ein größeres Problem ist es wenn dann aus der Kombination von "Unternehmen reagiert nicht" und "Bauanleitung für Angriffsvektoren wird veröffentlicht" ein echter, nicht wieder gut zu machender Schaden entsteht. Da geht was die Wupper runter.

    > Ich persönlich bin aber meistens für "lieber zu früh"

    Je nach Fall kann das gut sein - oder auch nicht. Schwierig.

    > veröffentlichen, denn wenn dann ein Schaden auftritt, ob wegen oder trotz
    > der disclosure, so ist er wenigstens öffentlich. Welcher Schaden durch
    > nicht-öffentliche Sicherheitslücken auftreten, wissen manchmal hingegen
    > nicht mal die Geschädigten, und wenn doch, wird es gerne geheim gehalten.

    Irgendeinen beißen die Hunde immer.
    Aber oft - wenn nicht meistens - hört man nichts davon.


    So langsam nähern wir uns ja den Grenzen der Halbleiter-Physik an.
    Elektronen müssen sich ja noch irgendwo durchquetschen können.

    Vielleicht haben dann alle Beteiligten dann mehr Zeit andere Sachen anzugehen und sich in Sachen erweiterte Sicherheit ein paar Lorbeeren zu verdienen.

    So eine Rechner-Architektur grundsätzlich neu aufzusetzen dauert Jahre.

    Aber wenn sich die Herstellungsprozesse selbst (aus heutiger Sicht) nicht mehr noch weiter verkleinern lassen, dann können die Architektur-Entwickler sich ja mal neue Sicherheits-Architekturen ausdenken und austesten. Falls das jemand bezahlt. Ob für zusätzliche Sicherheit überhaupt jemand bezahlen will ist die ganz andere Frage ...

    Und selbst dann: absolute technische Sicherheit werden wir hinkriegen können.

    .

  16. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: 946ben 14.05.18 - 22:02

    Ein Schloss, das man ohne Schlüssel öffnen kann ist auch unsicher. Ob bekannt ist, dass das geht oder nicht, spielt dabei ja keine Rolle.

  17. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: FreiGeistler 15.05.18 - 18:00

    cicero schrieb:
    --------------------------------------------------------------------------------
    > > Och, ein Software-Produkt zu wechseln sollte drin sein, bevor man wegen
    > > einer ungepatchen Sicherheitslücke bankrott geht. Das sollte einem seine
    > > Existenz wert sein.
    >
    > Ich empfehle gerne LibreOffice und auch Thunderbird.
    > Sind die denn sicher? Welche sicheren Alternativen gibt es denn?

    Claws Mail und Abiword (keine Makros).
    Oder Sylpheed und Asciidoc (WISIWIT statt WYSIMOLWYG, WYSIAYG und WYSINWYW) <Erklärung[/b]

  18. Re: Sicherheitsforscher zertrümmern Sicherheit

    Autor: TheUnichi 16.05.18 - 17:26

    Du musst nicht jedes Wort, dass ich schreibe, einzeln kommentieren, ich bin nicht geistig geschädigt.

    cicero schrieb:
    --------------------------------------------------------------------------------
    > > Sieht halt aus, wie jemand, der das Schreiben am PC nicht
    > > beherrscht
    >
    > Das ist eine Unterstellung, merkst Du das eigentlich?

    Eine "Unterstellung" wäre es, wenn du hier nichts gepostet hättest. Hast du aber und die Zeilenumbruch-Fehler in dem Verfassen eines normalen Textes im Internet sind hier klar ersichtlich.
    Vielleicht überdenkst du deine Definition einer "Unterstellung" noch mal?
    Denn die Beweise siehst du ein paar Posts über diesem hier. Steht dein Name drunter.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. OEDIV KG, Oldenburg
  2. evd energieversorgung dormagen gmbh, Dormagen
  3. Universität Passau, Passau
  4. Kommunale Versorgungskassen Westfalen-Lippe, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 375,20€
  2. (reduzierte Überstände, Restposten & Co.)
  3. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Jobporträt IT-Produktmanager: Der Alleversteher
Jobporträt IT-Produktmanager
Der Alleversteher

Ein IT-Produktmanager ist vor allem Dolmetscher - zwischen Marketing, IT und anderen. Dabei muss er scheinbar unmöglich vereinbare Interessen zusammenbringen.
Von Peter Ilg

  1. Coronakrise Die goldenen Jahre für IT-Spezialisten sind erstmal vorbei
  2. Coronakrise Welche Hilfen IT-Freelancer bekommen
  3. IT-Chefs aus Indien Mehr als nur ein Klischee

Schule: Hard- und Software allein macht keinen digitalen Unterricht
Schule
Hard- und Software allein macht keinen digitalen Unterricht

WLAN in allen Klassenzimmern reicht nicht, der ganze Unterricht an Schulen muss sich ändern. An den Problemen dabei sind nicht in erster Linie die Lehrkräfte schuld.
Ein IMHO von Gerd Mischler

  1. Kipping Linken-Chefin fordert Schul-Laptops mit SIM für alle Schüler
  2. Datenschutz Unberechtigte Accounts in Schul-Cloud
  3. Homeschooling-Report Wie Schulen mit der Coronakrise klarkommen

Telekom, Vodafone: Wenn LTE schneller als 5G ist
Telekom, Vodafone
Wenn LTE schneller als 5G ist

Dynamic Spectrum Sharing erlaubt 5G und LTE in alten Frequenzbereichen von 3G und DVB-T. Doch wenn man hier nur LTE einsetzen würde, wäre die Datenrate höher.
Ein Bericht von Achim Sawall

  1. Telekom Große Nachfrage nach Campusnetzen bei der Industrie
  2. Redbox Vodafone stellt komplettes 5G-Netz in einer Box vor
  3. 5G N1 Telekom erweitert massiv das 5G-Netz mit Telefónica-Spektrum