1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Zertifizierungen sind der…

Blackbox-Tests statt Open Source

  1. Thema

Neues Thema Ansicht wechseln


  1. Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 09:13

    Ich halte die Freigabe von Firmware-Quellcode ebenfalls für unrealistisch. Ich plädiere für eine Open Source Testumgebung, mit der diverse Closed Source Firmware auf Sicherheitslücken geprüft werden kann. Z.B. sollte es damit möglich sein, das selbe Angriffs-Schema auf verschiedener Firmware zu simulieren.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  2. Re: Blackbox-Tests statt Open Source

    Autor: M.P. 26.01.15 - 09:28

    Damit wird man bestimmt keine bewusst gepflanzten Sicherheitslücken finden.
    Wenn z. B. der Trojaner in der Netzwerkkarten-Firmware erst durch ein Aufwach-Ereignis aktiviert werden muss, z. B. ein Ping von einer bestimmten IP-Adresse ...

  3. Re: Blackbox-Tests statt Open Source

    Autor: Salzbretzel 26.01.15 - 09:32

    Das Problem ist, das ich deiner Blackbox nicht vertraue.

    #1 Wer sagt mir, das die Firmware die Blackbox nicht erkennt - wie es Viren schon bei Sandboxen können?
    ->Wenn die Firmware die Box erkennt, kann ein anderes Verhalten simuliert werden
    #2 Was ist wenn die Firmware ein Jahr artig ist und erst dann Mist baut? Solche Tests können dies nicht abdecken. Oder wir verlängern die Tests und die Firmware Schreiber lassen den Mist erst nach 12 Monaten und X Tag beginnen.
    #3 Woher soll die Box NEUE Lücken erkennen? Die könnte man im Quellcode vielleicht noch erkennen. Aber neue Fehler zu erkennen, ohne das Produkt zu sehen. Klappt nur wenn man eine Hellseher Division dabei hat.


    Die Testbox Umgebung ist generell keine schlechte Idee. Es kann ein erster Testschritt sein um grobe Fehlschläge aus zu sortieren. Aber gegen grobes manipulieren sichert dies nicht ab. Und wenn man einen Fehler findet, kann man auch nicht mal eben einen Fix schreiben. Denn der Quellcode liegt nicht vor.
    Und man sieht ja momentan schon wie schnell die Hersteller Updates veröffentlichen. Sehr langsam :-(

  4. Re: Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 10:26

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Damit wird man bestimmt keine bewusst gepflanzten Sicherheitslücken
    > finden.
    > Wenn z. B. der Trojaner in der Netzwerkkarten-Firmware erst durch ein
    > Aufwach-Ereignis aktiviert werden muss, z. B. ein Ping von einer bestimmten
    > IP-Adresse ...

    Alle möglichen Zustände zu testen, ist für eine Person meistens nicht möglich. Aber durch zufällig generierte Tests durch eine größere Zahl von Personen könnte man solchen Szenarien durchaus auf die Spur kommen.

    Mein Schwerpunkt liegt auf industrieller Test-Automation, und ich finde, das bringt im Vergleich zum Alltagsbetrieb eine ganze Menge.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  5. Re: Blackbox-Tests statt Open Source

    Autor: Nocta 26.01.15 - 12:29

    Zufällige Tests von vielen Personen?
    Ich erinnere mal daran, dass eine einzelne Variable beispielsweise schon 128 Bit groß sein kann.
    Teste jetzt mal schön alle Fälle durch. Das sind 3,4 * 10^38 Fälle, die du strenggenommen alle beachten müsstest. Das ist eine so große Zahl, das sind 10 Millionen mal 10 Quadrilliarden. Und eine Quadrilliarde ist schon eine Millionen mal eine Trillion.
    Sowas kannst und willst du dir einfach nicht vorstellen.

    Wird auch bei komplexerer Software, die aus mehr als einer Zeile besteht, nicht besser, der Zustandsraum der möglichen Zustände explodiert dir einfach direkt ins Gesicht.

  6. Re: Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 18:26

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > Wird auch bei komplexerer Software, die aus mehr als einer Zeile besteht,
    > nicht besser, der Zustandsraum der möglichen Zustände explodiert dir
    > einfach direkt ins Gesicht.

    Dem musst Du aber die Rechengeschwindigkeit und die sehr geringe Reaktionszeit der meisten Firmware gegenüber stellen. Die ist ja hauptsächlich Closed Source, weil sie maschinennah und hoch optimiert ist.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  7. Re: Blackbox-Tests statt Open Source

    Autor: Juniper 26.01.15 - 19:20

    Little_Green_Bot schrieb:
    --------------------------------------------------------------------------------
    > Nocta schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wird auch bei komplexerer Software, die aus mehr als einer Zeile
    > besteht,
    > > nicht besser, der Zustandsraum der möglichen Zustände explodiert dir
    > > einfach direkt ins Gesicht.
    >
    > Dem musst Du aber die Rechengeschwindigkeit und die sehr geringe
    > Reaktionszeit der meisten Firmware gegenüber stellen. Die ist ja
    > hauptsächlich Closed Source, weil sie maschinennah und hoch optimiert ist.

    Der Zeitraum geht vermutlich trozdem in die Trillarden Jahre selbst wenn ich nur einen Takt fuer jede Berechnung bräuchte und das ganze per boinc auf nen paar hundert millionen Rechner verteile. Wohlgemerkt mir nur einer 128 Variable oder 2 64ern usw.

    Da ists wesentlich erfolgsverprechender sich den Maschinencode anzuschauen, oder noch besser den Quellcode...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Polizeipräsidium Schwaben Süd/West, Kempten, Krumbach
  2. Stadt Paderborn, Paderborn
  3. A. Menarini Research & Business Service GmbH, Berlin
  4. Universität Passau, Passau

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 289,00€ (Bestpreis!)
  2. (u. a. HP 15s Power Notebook für 629,00€, LG 27 Zoll Monitor für 279,00€, Lenovo V155 Laptop...
  3. (aktuell u. a. Emtec X150 SSD Power Plus 480 GB für 51,90€ (Tages-Deal), BenQ EX3203R, 31,5-Zoll...
  4. (u. a. F1 2019 Anniversary Edition für 26,99€, Hitman 2 Gold Edition für 20,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Deep Fakes: Hello, Adele - bist du's wirklich?
Deep Fakes
Hello, Adele - bist du's wirklich?

Mit Deep Fakes wird geblödelt, gehetzt und geputscht. Bedrohen Videos, die vorgaukeln, Stars und Politiker zu zeigen, die Demokratie? Möglich, nur anders, als wir denken.
Eine Analyse von Meike Laaff

  1. Machine Learning Kalifornien will gegen Deep-Fake-Pornografie vorgehen
  2. Machine Learning Tensorflow 2.0 macht Keras-API zum zentralen Bestandteil
  3. Neural Structured Learning Tensorflow lernt auf Graphen und strukturierten Daten

Mikrocontroller: Sensordaten mit Micro Python und ESP8266 auslesen
Mikrocontroller
Sensordaten mit Micro Python und ESP8266 auslesen

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

  1. Programmiersprache Python verkürzt Release-Zyklus auf ein Jahr
  2. Programmiersprache Anfang 2020 ist endgültig Schluss für Python 2
  3. Micropython Das Pyboard D ist ein Steckbausatz für IoT-Bastler

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

  1. Snapdragon XR2: Qualcomm hat ersten XR-Chip mit 5G-Option
    Snapdragon XR2
    Qualcomm hat ersten XR-Chip mit 5G-Option

    Egal ob Brille oder Headset: Mit dem Snapdragon XR2 sollen AR-, MR- und VR-Geräte deutlich besser werden. Der Chip ist eine Version des Snapdragon 865, er unterstützt Augen-, Gesichts- und Hand-Tracking.

  2. Snapdragon 8c/7c: Zwei Chips für Chromebooks und Win10 on ARM
    Snapdragon 8c/7c
    Zwei Chips für Chromebooks und Win10 on ARM

    Qualcomm stellt sich breiter auf: Der Snapdragon 8c folgt auf den Snapdragon 8cx und ist für 500-Dollar-Notebooks mit Windows 10 on ARM gedacht, der noch günstigere Snapdragon 7c wird zusätzlich in Chromebooks stecken.

  3. Bundeskartellamt: Telekom und Ewe dürfen zusammen Glasfaser ausbauen
    Bundeskartellamt
    Telekom und Ewe dürfen zusammen Glasfaser ausbauen

    Mit hohen Auflagen hat das Bundeskartellamt wesentliche Teile der Glasfaser-Kooperation zwischen Telekom und Ewe genehmigt. Die Partner haben sich noch nicht dazu geäußert.


  1. 01:12

  2. 21:30

  3. 16:40

  4. 16:12

  5. 15:50

  6. 15:28

  7. 15:11

  8. 14:45