Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PC-Wahl: CCC patcht Wahlsoftware…

Falsche Überschrift -- da wird nichts gepatcht!

  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Überschrift -- da wird nichts gepatcht!

    Autor: Richtig Steller 19.09.17 - 13:28

    Meldungen wie diese regen mich auf.

    Wir schimpfen immer über Klickbaiting und Co.

    Aber bei den "eigenen" Themen, wo wir glauben selber die "Guten" zu sein, bedienen wir uns voll und ganz der Klickbait-Schiene, sind ungenau und machen all das, was wir sonst kritisieren.

    Der CCC hat keinen *Patch* für irgendeine Software bereitgestellt.

    Er zeigt *lediglich* eine Beispielimplementierung einer möglichen Lösung. Ein Proof Of Concept (PoC). Mehr nicht.

    Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt weiterhelfen kann?

    Wenn ein Onlinemagazin für Profis nun nicht einmal weiß was ein Patch ist bzw. glaubt bei so einem wichtigen Thema es nicht genau nehmen zu müssen (Hey! Das ist ja der CCC! Unsere Jungs und Mädels!) dann habe ich bald keine Hoffnung mehr...

    Aber Hauptsache draufhauen und sich über die scheinbare Unfähigkeit der kleinen Softwareklitsche lustig machen.

  2. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: ikhaya 19.09.17 - 13:31

    Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen Patch an der Exportfunktion sabotiert.
    Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten Binary.
    Erbsenzählerei

  3. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: nachgefragt 19.09.17 - 18:04

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------
    > Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die
    > PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel
    > nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der
    > Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt
    > weiterhelfen kann?

    https://www.heise.de/newsticker/meldung/Maengel-in-der-Wahlsoftware-seit-Monaten-bekannt-3834197.html

    https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf

    Wurd doch erst vor 4 Tagen drüber berichtet, dass ein ordentlicher Audit mehrfach verwehrt wurde.



    2 mal bearbeitet, zuletzt am 19.09.17 18:05 durch nachgefragt.

  4. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: AgentBignose 19.09.17 - 19:58

    Das sehe ich jetzt aber auch genauso!

    Ein Patch wäre sowieso nur bei Codeeinsicht, Modularisierung oder komplettem Reverse Engineering möglich.

    Von scheinbarer Unfähigkeit des Herstellers würde ich aber nicht sprechen, die sehe ich als erwiesen an!

    Das jetzt wo die ganze Welt hin zieht in der Zeit kaum noch eine Lösung zu finden ist an der keiner einen Haken findet kann ich mir vorstellen.
    Das Versäumnis ist eben längst geschehen, jetzt hat man die Konsequenzen.

  5. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: gfa-g 20.09.17 - 01:37

    > Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen
    > Patch an der Exportfunktion sabotiert.
    > Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten
    > Binary.
    > Erbsenzählerei
    Wenn man keine Ahnung von der Materie hat, scheint der Schritt klein.
    Praktisch gesehen funktioniert das nur so einfach wenn die Funktion zum Übersenden nur ein einer isolierten Stelle steht, sonst müssen x Stellen gefunden und entsprechend verstanden und dann geändert werden (so dass das Programm auch noch funktioniert).

    Aber selbst dann, ein Binärpatch wäre reichlich sinnlos, denn er wäre bei dem nächsten Kompilat obsolet.

    Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von Delphi.

    Sie haben wohl nur ein paar API-Hooks verwendet und den Netzverkehr geloggt.

    Daher auch die Erklärungen in C, und die Code-"Spende" in C#, obwohl das Programm in Delphi geschrieben ist, und somit nutzlos ist.
    Wenn dann braucht es eine sichere Bibliothek zur Verschlüsselung die in *Delphi* geschrieben ist. Alles andere ist Pseudohilfe, da es gerade wesentlich, dass nicht nur der theoretische Algorithmus, sondern seine konkrete Implementierung gehärtet ist.
    Ich bezweifle auch dass sie zu einem Code-Audit von Delphi-Quellen fähig wären.

    Der Entwickler mag unfähig sein, aber die CCC-Leute vermitteln eine gewisse Arroganz gepaart mit Ignoranz über den eigenen Tellerrand hinaus.

    Es fällt auch auf bei vielen im Forum auf, dass sie denken dass ein Ersetzen durch ihre bevorzugten Entwicklungswerkzeuge alles besser macht.
    Was der Bauer nicht kennt...



    1 mal bearbeitet, zuletzt am 20.09.17 01:40 durch gfa-g.

  6. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: emuuu 20.09.17 - 14:20

    gfa-g schrieb:
    --------------------------------------------------------------------------------
    > Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC
    > durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von
    > Delphi.
    >
    > [...]
    >
    > e-Audit von Delphi-Quellen fähig
    > wären.

    Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser sehr professionellen Firma, die PC Wahl vertreibt.
    Zunächst: Delphi ist keine Programmiersprache. Delphi ist eine Entwicklungsumgebung in der man Object Pascal "schreiben" kann.
    C# ist hingegen eine Programmiersprache, welche zumeist (bei weitem nicht ausschließlich) in der Entwicklungsumgebung Visual Studio verwendet wird. Allein der Punkt straft deine Aussage schon maßlosem Unwissen.

    Des Weiteren ist das Hauptproblem mit PC Wahl nicht der Code sondern das Konzept/die Architektur. Exakt den gleichen Mist wie bei PC Wahl hätte man in jeder anderen Sprache verzapfen können. Will meinen selbst wenn die Code-Spende in C# ist geht es hierbei nicht um die 1zu1-Übernahme dessen, sondern das klar wird wie etwas umgesetzt werden sollte.

    Und zu deiner Degradierung des CCC nicht kompetent genug für Delphi zu sein:
    Bei aktuellen (objektorientierten) Hochsprachen ist eine wie die andere. Sprich ein Entwickler der z.B. C# durch und durch beherrscht kann zwar vllt. nicht swift oder object pascal selber schreiben, weil er die Syntax nicht in dem Maße beherrscht, kann den Code in einer anderen Sprache aber i.d.R. immer verstehen.



    1 mal bearbeitet, zuletzt am 20.09.17 14:24 durch emuuu.

Neues Thema Ansicht wechseln


Dieses Thema wurde geschlossen.

Stellenmarkt
  1. Home Shopping Europe GmbH, Ismaning
  2. EnBW Energie Baden-Württemberg AG, Karlsruhe
  3. ABB AG, Ladenburg
  4. MBDA Deutschland, Schrobenhausen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. bei ubisoft.com
  2. (-37%) 37,99€
  3. 59,99€ mit Vorbesteller-Preisgarantie
  4. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Volocopter 2X: Das Flugtaxi, das noch nicht abheben darf
Volocopter 2X
Das Flugtaxi, das noch nicht abheben darf

Cebit 2018 Der Volocopter ist fertig - bleibt in Hannover aber noch am Boden. Im zweisitzigen Fluggerät stecken jede Menge Ideen, die autonomes Fliegen als Ergänzung zu anderen Nahverkehrsmitteln möglich machen soll. Golem.de hat Platz genommen und mit den Entwicklern gesprochen.
Von Nico Ernst

  1. Urban Air Mobility Airbus gründet neuen Geschäftsbereich für Lufttaxis
  2. Cityairbus Mit Siemens soll das Lufttaxi abheben
  3. Verkehr Porsche entwickelt Lufttaxi

CD Projekt Red: So spielt sich Cyberpunk 2077
CD Projekt Red
So spielt sich Cyberpunk 2077

E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
Von Peter Steinlechner


    In eigener Sache: Freie Schreiber/-innen für Jobthemen gesucht
    In eigener Sache
    Freie Schreiber/-innen für Jobthemen gesucht

    IT-Profis sind auf dem Arbeitsmarkt enorm gefragt, und die Branche hat viele Eigenheiten. Du kennst dich damit aus und willst unseren Lesern darüber berichten? Dann schreib für unser Karriere-Ressort!

    1. Leserumfrage Wie sollen wir Golem.de erweitern?
    2. Stellenanzeige Golem.de sucht Redakteur/-in für IT-Sicherheit
    3. Leserumfrage Wie gefällt Ihnen Golem.de?

    1. Spotify-Konkurrent: Youtube Music startet Gratis-Musikstreaming in Deutschland
      Spotify-Konkurrent
      Youtube Music startet Gratis-Musikstreaming in Deutschland

      Youtube Music ist in Deutschland verfügbar. Mit dem Nachfolger von Play Musik bringt Google einen neuen Musikstreaming-Abodienst auf den Markt. Wie auch Spotify kann Youtube Music mit Werbung kostenlos verwendet werden.

    2. Mars: Die Staubstürme des roten Planeten
      Mars
      Die Staubstürme des roten Planeten

      Der Mars-Rover Opportunity ist nicht die erste Mission, die unter Staubstürmen leidet. Aber zumindest sind sie inzwischen viel besser verstanden als in der Frühzeit der Marsforschung.

    3. Patent: Motorola will Verformungen bei flexiblen Displays verhindern
      Patent
      Motorola will Verformungen bei flexiblen Displays verhindern

      Smartphones mit flexiblem Display könnten sich bei häufigem Auf- und Zuklappen an den Faltstellen verformen. Noch bevor überhaupt ein erstes derartiges Gerät auf den Markt gekommen ist, hat Motorola ein interessantes Patent zum Schutz dieser Stelle zugesprochen bekommen.


    1. 17:00

    2. 16:33

    3. 15:56

    4. 15:13

    5. 14:56

    6. 14:18

    7. 13:55

    8. 13:35