Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PC-Wahl: CCC patcht Wahlsoftware…

Falsche Überschrift -- da wird nichts gepatcht!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Überschrift -- da wird nichts gepatcht!

    Autor: Richtig Steller 19.09.17 - 13:28

    Meldungen wie diese regen mich auf.

    Wir schimpfen immer über Klickbaiting und Co.

    Aber bei den "eigenen" Themen, wo wir glauben selber die "Guten" zu sein, bedienen wir uns voll und ganz der Klickbait-Schiene, sind ungenau und machen all das, was wir sonst kritisieren.

    Der CCC hat keinen *Patch* für irgendeine Software bereitgestellt.

    Er zeigt *lediglich* eine Beispielimplementierung einer möglichen Lösung. Ein Proof Of Concept (PoC). Mehr nicht.

    Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt weiterhelfen kann?

    Wenn ein Onlinemagazin für Profis nun nicht einmal weiß was ein Patch ist bzw. glaubt bei so einem wichtigen Thema es nicht genau nehmen zu müssen (Hey! Das ist ja der CCC! Unsere Jungs und Mädels!) dann habe ich bald keine Hoffnung mehr...

    Aber Hauptsache draufhauen und sich über die scheinbare Unfähigkeit der kleinen Softwareklitsche lustig machen.

  2. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: ikhaya 19.09.17 - 13:31

    Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen Patch an der Exportfunktion sabotiert.
    Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten Binary.
    Erbsenzählerei

  3. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: nachgefragt 19.09.17 - 18:04

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------
    > Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die
    > PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel
    > nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der
    > Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt
    > weiterhelfen kann?

    https://www.heise.de/newsticker/meldung/Maengel-in-der-Wahlsoftware-seit-Monaten-bekannt-3834197.html

    https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf

    Wurd doch erst vor 4 Tagen drüber berichtet, dass ein ordentlicher Audit mehrfach verwehrt wurde.



    2 mal bearbeitet, zuletzt am 19.09.17 18:05 durch nachgefragt.

  4. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: AgentBignose 19.09.17 - 19:58

    Das sehe ich jetzt aber auch genauso!

    Ein Patch wäre sowieso nur bei Codeeinsicht, Modularisierung oder komplettem Reverse Engineering möglich.

    Von scheinbarer Unfähigkeit des Herstellers würde ich aber nicht sprechen, die sehe ich als erwiesen an!

    Das jetzt wo die ganze Welt hin zieht in der Zeit kaum noch eine Lösung zu finden ist an der keiner einen Haken findet kann ich mir vorstellen.
    Das Versäumnis ist eben längst geschehen, jetzt hat man die Konsequenzen.

  5. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: gfa-g 20.09.17 - 01:37

    > Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen
    > Patch an der Exportfunktion sabotiert.
    > Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten
    > Binary.
    > Erbsenzählerei
    Wenn man keine Ahnung von der Materie hat, scheint der Schritt klein.
    Praktisch gesehen funktioniert das nur so einfach wenn die Funktion zum Übersenden nur ein einer isolierten Stelle steht, sonst müssen x Stellen gefunden und entsprechend verstanden und dann geändert werden (so dass das Programm auch noch funktioniert).

    Aber selbst dann, ein Binärpatch wäre reichlich sinnlos, denn er wäre bei dem nächsten Kompilat obsolet.

    Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von Delphi.

    Sie haben wohl nur ein paar API-Hooks verwendet und den Netzverkehr geloggt.

    Daher auch die Erklärungen in C, und die Code-"Spende" in C#, obwohl das Programm in Delphi geschrieben ist, und somit nutzlos ist.
    Wenn dann braucht es eine sichere Bibliothek zur Verschlüsselung die in *Delphi* geschrieben ist. Alles andere ist Pseudohilfe, da es gerade wesentlich, dass nicht nur der theoretische Algorithmus, sondern seine konkrete Implementierung gehärtet ist.
    Ich bezweifle auch dass sie zu einem Code-Audit von Delphi-Quellen fähig wären.

    Der Entwickler mag unfähig sein, aber die CCC-Leute vermitteln eine gewisse Arroganz gepaart mit Ignoranz über den eigenen Tellerrand hinaus.

    Es fällt auch auf bei vielen im Forum auf, dass sie denken dass ein Ersetzen durch ihre bevorzugten Entwicklungswerkzeuge alles besser macht.
    Was der Bauer nicht kennt...



    1 mal bearbeitet, zuletzt am 20.09.17 01:40 durch gfa-g.

  6. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: emuuu 20.09.17 - 14:20

    gfa-g schrieb:
    --------------------------------------------------------------------------------
    > Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC
    > durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von
    > Delphi.
    >
    > [...]
    >
    > e-Audit von Delphi-Quellen fähig
    > wären.

    Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser sehr professionellen Firma, die PC Wahl vertreibt.
    Zunächst: Delphi ist keine Programmiersprache. Delphi ist eine Entwicklungsumgebung in der man Object Pascal "schreiben" kann.
    C# ist hingegen eine Programmiersprache, welche zumeist (bei weitem nicht ausschließlich) in der Entwicklungsumgebung Visual Studio verwendet wird. Allein der Punkt straft deine Aussage schon maßlosem Unwissen.

    Des Weiteren ist das Hauptproblem mit PC Wahl nicht der Code sondern das Konzept/die Architektur. Exakt den gleichen Mist wie bei PC Wahl hätte man in jeder anderen Sprache verzapfen können. Will meinen selbst wenn die Code-Spende in C# ist geht es hierbei nicht um die 1zu1-Übernahme dessen, sondern das klar wird wie etwas umgesetzt werden sollte.

    Und zu deiner Degradierung des CCC nicht kompetent genug für Delphi zu sein:
    Bei aktuellen (objektorientierten) Hochsprachen ist eine wie die andere. Sprich ein Entwickler der z.B. C# durch und durch beherrscht kann zwar vllt. nicht swift oder object pascal selber schreiben, weil er die Syntax nicht in dem Maße beherrscht, kann den Code in einer anderen Sprache aber i.d.R. immer verstehen.



    1 mal bearbeitet, zuletzt am 20.09.17 14:24 durch emuuu.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Ingelheim
  2. AOK NORDWEST - Die Gesundheitskasse, Dortmund
  3. MBtech Group GmbH & Co. KGaA, München
  4. real Innenausbau AG, Külsheim

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (heute u. a. Nintendo Handhelds und Spiele, Harry Potter und Mittelerde Blu-rays, Objektive, Lenovo...
  2. 315,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden
Dynamics 365
Microsoft verteilt privaten Schlüssel an alle Kunden
  1. Sysinternals-Werkzeug Microsoft stellt Procdump für Linux vor
  2. Microsoft Kollaboratives Whiteboard als Windows-10-Preview verfügbar
  3. Microsoft-Studie Kreative Frauen interessieren sich eher für IT und Mathe

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

Apps und Games für VR-Headsets: Der virtuelle Blade Runner und Sport mit Sparc
Apps und Games für VR-Headsets
Der virtuelle Blade Runner und Sport mit Sparc
  1. Virtual-Reality-Benchmarks Geforce gegen Radeon in VR-Spielen
  2. Sumerian Amazon stellt Editor für Augmented und Virtual Reality vor
  3. Virtual Reality Huawei und TPCast wollen VR mit 5G streamen

  1. Radeon-Software-Adrenalin-Edition: Grafikkartenzugriff mit Smartphone-App
    Radeon-Software-Adrenalin-Edition
    Grafikkartenzugriff mit Smartphone-App

    Direkt am Smartphone können Nutzer auf ihrem Spiele-PC mit der Radeon-Software-Adrenalin-Edition von AMD die Bildrate und andere Parameter analysieren. Weitere Neuerungen sind ein Overlay sowie Enhanced Sync für mehr GPUs und verbesserte Stromsparoptionen.

  2. Datentransfer in USA: EU-Datenschützer fordern Nachbesserungen beim Privacy Shield
    Datentransfer in USA
    EU-Datenschützer fordern Nachbesserungen beim Privacy Shield

    Die neue Datenschutzvereinbarung mit den USA reicht den EU-Datenschützern weiterhin nicht aus. EU-Kommission und US-Regierung sollen "erhebliche Bedenken" bis Mai 2018 ausräumen.

  3. Ghostscript: Vertragsverletzung in GPL-Klage wird nicht entschieden
    Ghostscript
    Vertragsverletzung in GPL-Klage wird nicht entschieden

    Ob ein Verstoß gegen die GPL nicht nur eine Urheberrechtsverletzung, sondern auch eine Vertragsverletzung ist, bleibt gerichtlich ungeklärt. Eine entsprechende GPL-Klage zu dem Werkzeug Ghostscript ist durch eine Einigung beigelegt worden.


  1. 15:09

  2. 14:44

  3. 13:48

  4. 13:43

  5. 13:32

  6. 13:07

  7. 12:05

  8. 11:38