Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PC-Wahl: CCC patcht Wahlsoftware…

Falsche Überschrift -- da wird nichts gepatcht!

  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Überschrift -- da wird nichts gepatcht!

    Autor: Richtig Steller 19.09.17 - 13:28

    Meldungen wie diese regen mich auf.

    Wir schimpfen immer über Klickbaiting und Co.

    Aber bei den "eigenen" Themen, wo wir glauben selber die "Guten" zu sein, bedienen wir uns voll und ganz der Klickbait-Schiene, sind ungenau und machen all das, was wir sonst kritisieren.

    Der CCC hat keinen *Patch* für irgendeine Software bereitgestellt.

    Er zeigt *lediglich* eine Beispielimplementierung einer möglichen Lösung. Ein Proof Of Concept (PoC). Mehr nicht.

    Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt weiterhelfen kann?

    Wenn ein Onlinemagazin für Profis nun nicht einmal weiß was ein Patch ist bzw. glaubt bei so einem wichtigen Thema es nicht genau nehmen zu müssen (Hey! Das ist ja der CCC! Unsere Jungs und Mädels!) dann habe ich bald keine Hoffnung mehr...

    Aber Hauptsache draufhauen und sich über die scheinbare Unfähigkeit der kleinen Softwareklitsche lustig machen.

  2. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: ikhaya 19.09.17 - 13:31

    Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen Patch an der Exportfunktion sabotiert.
    Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten Binary.
    Erbsenzählerei

  3. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: nachgefragt 19.09.17 - 18:04

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------
    > Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die
    > PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel
    > nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der
    > Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt
    > weiterhelfen kann?

    https://www.heise.de/newsticker/meldung/Maengel-in-der-Wahlsoftware-seit-Monaten-bekannt-3834197.html

    https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf

    Wurd doch erst vor 4 Tagen drüber berichtet, dass ein ordentlicher Audit mehrfach verwehrt wurde.



    2 mal bearbeitet, zuletzt am 19.09.17 18:05 durch nachgefragt.

  4. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: AgentBignose 19.09.17 - 19:58

    Das sehe ich jetzt aber auch genauso!

    Ein Patch wäre sowieso nur bei Codeeinsicht, Modularisierung oder komplettem Reverse Engineering möglich.

    Von scheinbarer Unfähigkeit des Herstellers würde ich aber nicht sprechen, die sehe ich als erwiesen an!

    Das jetzt wo die ganze Welt hin zieht in der Zeit kaum noch eine Lösung zu finden ist an der keiner einen Haken findet kann ich mir vorstellen.
    Das Versäumnis ist eben längst geschehen, jetzt hat man die Konsequenzen.

  5. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: gfa-g 20.09.17 - 01:37

    > Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen
    > Patch an der Exportfunktion sabotiert.
    > Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten
    > Binary.
    > Erbsenzählerei
    Wenn man keine Ahnung von der Materie hat, scheint der Schritt klein.
    Praktisch gesehen funktioniert das nur so einfach wenn die Funktion zum Übersenden nur ein einer isolierten Stelle steht, sonst müssen x Stellen gefunden und entsprechend verstanden und dann geändert werden (so dass das Programm auch noch funktioniert).

    Aber selbst dann, ein Binärpatch wäre reichlich sinnlos, denn er wäre bei dem nächsten Kompilat obsolet.

    Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von Delphi.

    Sie haben wohl nur ein paar API-Hooks verwendet und den Netzverkehr geloggt.

    Daher auch die Erklärungen in C, und die Code-"Spende" in C#, obwohl das Programm in Delphi geschrieben ist, und somit nutzlos ist.
    Wenn dann braucht es eine sichere Bibliothek zur Verschlüsselung die in *Delphi* geschrieben ist. Alles andere ist Pseudohilfe, da es gerade wesentlich, dass nicht nur der theoretische Algorithmus, sondern seine konkrete Implementierung gehärtet ist.
    Ich bezweifle auch dass sie zu einem Code-Audit von Delphi-Quellen fähig wären.

    Der Entwickler mag unfähig sein, aber die CCC-Leute vermitteln eine gewisse Arroganz gepaart mit Ignoranz über den eigenen Tellerrand hinaus.

    Es fällt auch auf bei vielen im Forum auf, dass sie denken dass ein Ersetzen durch ihre bevorzugten Entwicklungswerkzeuge alles besser macht.
    Was der Bauer nicht kennt...



    1 mal bearbeitet, zuletzt am 20.09.17 01:40 durch gfa-g.

  6. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: emuuu 20.09.17 - 14:20

    gfa-g schrieb:
    --------------------------------------------------------------------------------
    > Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC
    > durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von
    > Delphi.
    >
    > [...]
    >
    > e-Audit von Delphi-Quellen fähig
    > wären.

    Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser sehr professionellen Firma, die PC Wahl vertreibt.
    Zunächst: Delphi ist keine Programmiersprache. Delphi ist eine Entwicklungsumgebung in der man Object Pascal "schreiben" kann.
    C# ist hingegen eine Programmiersprache, welche zumeist (bei weitem nicht ausschließlich) in der Entwicklungsumgebung Visual Studio verwendet wird. Allein der Punkt straft deine Aussage schon maßlosem Unwissen.

    Des Weiteren ist das Hauptproblem mit PC Wahl nicht der Code sondern das Konzept/die Architektur. Exakt den gleichen Mist wie bei PC Wahl hätte man in jeder anderen Sprache verzapfen können. Will meinen selbst wenn die Code-Spende in C# ist geht es hierbei nicht um die 1zu1-Übernahme dessen, sondern das klar wird wie etwas umgesetzt werden sollte.

    Und zu deiner Degradierung des CCC nicht kompetent genug für Delphi zu sein:
    Bei aktuellen (objektorientierten) Hochsprachen ist eine wie die andere. Sprich ein Entwickler der z.B. C# durch und durch beherrscht kann zwar vllt. nicht swift oder object pascal selber schreiben, weil er die Syntax nicht in dem Maße beherrscht, kann den Code in einer anderen Sprache aber i.d.R. immer verstehen.



    1 mal bearbeitet, zuletzt am 20.09.17 14:24 durch emuuu.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Kratzer Automation AG, verschiedene Standorte
  2. infoteam Software AG, Bubenreuth bei Erlangen, Stuttgart
  3. Universität Passau, Passau
  4. Funkinform Informations- und Datentechnik GmbH, Ettlingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. ROG Rapture GT-AC5300 + Black Ops 4 für 303,20€ + Versand statt 345€ im Vergleich, RT...
  2. 79,90€ + Versand (Bestpreis!)
  3. (u. a. GTA V für 16,82€ und The Elder Scrolls Online: Morrowind für 8,99€)
  4. (u. a. Define R6 für 94,90€ + Versand, Zotac GeForce GTX 1080 Ti Blower für 639€ + Versand...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Yara Birkeland: Autonome Schiffe sind eine neue Art von Transportsystem
Yara Birkeland
Autonome Schiffe sind eine neue Art von Transportsystem

Die Yara Birkeland wird das erste elektrisch angetriebene Schiff, das autonom fahren soll. Das ist aber nicht das einzige Ungewöhnliche daran. Diese Schiffe seien ein ganz neues Transportmittel, das nicht nur von den üblichen Akteuren eingesetzt werde, sagt ein Experte.
Ein Interview von Werner Pluta

  1. Power Pac Strom aus dem Container für Ozeanriesen
  2. Yara Birkeland Norwegische Werft baut den ersten autonomen E-Frachter
  3. SAVe Energy Rolls-Royce bringt Akku zur Elektrifizierung von Schiffen

Single Sign-on Made in Germany: Verimi, NetID oder ID4me?
Single Sign-on Made in Germany
Verimi, NetID oder ID4me?

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

  1. Verimi Deutsche Konzerne starten Single Sign-on

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

  1. Frequenzauktion: Auch die SPD will ein erheblich besseres 5G-Netz
    Frequenzauktion
    Auch die SPD will ein erheblich besseres 5G-Netz

    Auch die SPD-Fraktion legt sich bei 5G mit der Bundesnetzagentur an. 50 MBit/s entlang von fahrgaststarken Bahnstrecken seien rückwärtsgerichtet.

  2. Verdi: Streik bei Amazon an zwei Standorten
    Verdi
    Streik bei Amazon an zwei Standorten

    Eine Lohnerhöhung um zwei Prozent führt zu mehrtägigen Streiks bei Amazon Deutschland. Die Unterschiede zum Tarifvertrag blieben damit bestehen.

  3. Frequenzauktion: CDU warnen per Brandbrief vor 5G-Funkloch-Krise
    Frequenzauktion
    CDU warnen per Brandbrief vor 5G-Funkloch-Krise

    Die Unions-Vize-Chefs und der Vorsitzende des Beirats der Bundesnetzagentur wollen die Bedingungen für die Vergabe der 5G-Frequenzen ändern. Höhere Abdeckung und eine verpflichtende Zulassung von MVNOs seien nötig. Deutschland werde sonst kein 5G-Leitmarkt.


  1. 18:51

  2. 18:12

  3. 16:54

  4. 15:59

  5. 15:35

  6. 15:00

  7. 14:46

  8. 14:31