1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › IMHO: Zertifizierungen sind der…

Blackbox-Tests statt Open Source

  1. Thema

Neues Thema Ansicht wechseln


  1. Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 09:13

    Ich halte die Freigabe von Firmware-Quellcode ebenfalls für unrealistisch. Ich plädiere für eine Open Source Testumgebung, mit der diverse Closed Source Firmware auf Sicherheitslücken geprüft werden kann. Z.B. sollte es damit möglich sein, das selbe Angriffs-Schema auf verschiedener Firmware zu simulieren.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  2. Re: Blackbox-Tests statt Open Source

    Autor: M.P. 26.01.15 - 09:28

    Damit wird man bestimmt keine bewusst gepflanzten Sicherheitslücken finden.
    Wenn z. B. der Trojaner in der Netzwerkkarten-Firmware erst durch ein Aufwach-Ereignis aktiviert werden muss, z. B. ein Ping von einer bestimmten IP-Adresse ...

  3. Re: Blackbox-Tests statt Open Source

    Autor: Salzbretzel 26.01.15 - 09:32

    Das Problem ist, das ich deiner Blackbox nicht vertraue.

    #1 Wer sagt mir, das die Firmware die Blackbox nicht erkennt - wie es Viren schon bei Sandboxen können?
    ->Wenn die Firmware die Box erkennt, kann ein anderes Verhalten simuliert werden
    #2 Was ist wenn die Firmware ein Jahr artig ist und erst dann Mist baut? Solche Tests können dies nicht abdecken. Oder wir verlängern die Tests und die Firmware Schreiber lassen den Mist erst nach 12 Monaten und X Tag beginnen.
    #3 Woher soll die Box NEUE Lücken erkennen? Die könnte man im Quellcode vielleicht noch erkennen. Aber neue Fehler zu erkennen, ohne das Produkt zu sehen. Klappt nur wenn man eine Hellseher Division dabei hat.


    Die Testbox Umgebung ist generell keine schlechte Idee. Es kann ein erster Testschritt sein um grobe Fehlschläge aus zu sortieren. Aber gegen grobes manipulieren sichert dies nicht ab. Und wenn man einen Fehler findet, kann man auch nicht mal eben einen Fix schreiben. Denn der Quellcode liegt nicht vor.
    Und man sieht ja momentan schon wie schnell die Hersteller Updates veröffentlichen. Sehr langsam :-(

  4. Re: Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 10:26

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Damit wird man bestimmt keine bewusst gepflanzten Sicherheitslücken
    > finden.
    > Wenn z. B. der Trojaner in der Netzwerkkarten-Firmware erst durch ein
    > Aufwach-Ereignis aktiviert werden muss, z. B. ein Ping von einer bestimmten
    > IP-Adresse ...

    Alle möglichen Zustände zu testen, ist für eine Person meistens nicht möglich. Aber durch zufällig generierte Tests durch eine größere Zahl von Personen könnte man solchen Szenarien durchaus auf die Spur kommen.

    Mein Schwerpunkt liegt auf industrieller Test-Automation, und ich finde, das bringt im Vergleich zum Alltagsbetrieb eine ganze Menge.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  5. Re: Blackbox-Tests statt Open Source

    Autor: Nocta 26.01.15 - 12:29

    Zufällige Tests von vielen Personen?
    Ich erinnere mal daran, dass eine einzelne Variable beispielsweise schon 128 Bit groß sein kann.
    Teste jetzt mal schön alle Fälle durch. Das sind 3,4 * 10^38 Fälle, die du strenggenommen alle beachten müsstest. Das ist eine so große Zahl, das sind 10 Millionen mal 10 Quadrilliarden. Und eine Quadrilliarde ist schon eine Millionen mal eine Trillion.
    Sowas kannst und willst du dir einfach nicht vorstellen.

    Wird auch bei komplexerer Software, die aus mehr als einer Zeile besteht, nicht besser, der Zustandsraum der möglichen Zustände explodiert dir einfach direkt ins Gesicht.

  6. Re: Blackbox-Tests statt Open Source

    Autor: Little_Green_Bot 26.01.15 - 18:26

    Nocta schrieb:
    --------------------------------------------------------------------------------
    > Wird auch bei komplexerer Software, die aus mehr als einer Zeile besteht,
    > nicht besser, der Zustandsraum der möglichen Zustände explodiert dir
    > einfach direkt ins Gesicht.

    Dem musst Du aber die Rechengeschwindigkeit und die sehr geringe Reaktionszeit der meisten Firmware gegenüber stellen. Die ist ja hauptsächlich Closed Source, weil sie maschinennah und hoch optimiert ist.

    Einigkeit und Recht und Freiheit für das deutsche Vaterland!

  7. Re: Blackbox-Tests statt Open Source

    Autor: Juniper 26.01.15 - 19:20

    Little_Green_Bot schrieb:
    --------------------------------------------------------------------------------
    > Nocta schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wird auch bei komplexerer Software, die aus mehr als einer Zeile
    > besteht,
    > > nicht besser, der Zustandsraum der möglichen Zustände explodiert dir
    > > einfach direkt ins Gesicht.
    >
    > Dem musst Du aber die Rechengeschwindigkeit und die sehr geringe
    > Reaktionszeit der meisten Firmware gegenüber stellen. Die ist ja
    > hauptsächlich Closed Source, weil sie maschinennah und hoch optimiert ist.

    Der Zeitraum geht vermutlich trozdem in die Trillarden Jahre selbst wenn ich nur einen Takt fuer jede Berechnung bräuchte und das ganze per boinc auf nen paar hundert millionen Rechner verteile. Wohlgemerkt mir nur einer 128 Variable oder 2 64ern usw.

    Da ists wesentlich erfolgsverprechender sich den Maschinencode anzuschauen, oder noch besser den Quellcode...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr
  2. über PRIMEPEOPLE AG, Stuttgart
  3. Hays AG, Berlin
  4. Berliner Wasserbetriebe, Berlin-Wilmersdorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 18,99€
  2. Gratis
  3. 6,66€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme