Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PC-Wahl: CCC patcht Wahlsoftware…

Falsche Überschrift -- da wird nichts gepatcht!

  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Überschrift -- da wird nichts gepatcht!

    Autor: Richtig Steller 19.09.17 - 13:28

    Meldungen wie diese regen mich auf.

    Wir schimpfen immer über Klickbaiting und Co.

    Aber bei den "eigenen" Themen, wo wir glauben selber die "Guten" zu sein, bedienen wir uns voll und ganz der Klickbait-Schiene, sind ungenau und machen all das, was wir sonst kritisieren.

    Der CCC hat keinen *Patch* für irgendeine Software bereitgestellt.

    Er zeigt *lediglich* eine Beispielimplementierung einer möglichen Lösung. Ein Proof Of Concept (PoC). Mehr nicht.

    Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt weiterhelfen kann?

    Wenn ein Onlinemagazin für Profis nun nicht einmal weiß was ein Patch ist bzw. glaubt bei so einem wichtigen Thema es nicht genau nehmen zu müssen (Hey! Das ist ja der CCC! Unsere Jungs und Mädels!) dann habe ich bald keine Hoffnung mehr...

    Aber Hauptsache draufhauen und sich über die scheinbare Unfähigkeit der kleinen Softwareklitsche lustig machen.

  2. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: ikhaya 19.09.17 - 13:31

    Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen Patch an der Exportfunktion sabotiert.
    Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten Binary.
    Erbsenzählerei

  3. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: nachgefragt 19.09.17 - 18:04

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------
    > Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die
    > PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel
    > nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der
    > Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt
    > weiterhelfen kann?

    https://www.heise.de/newsticker/meldung/Maengel-in-der-Wahlsoftware-seit-Monaten-bekannt-3834197.html

    https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf

    Wurd doch erst vor 4 Tagen drüber berichtet, dass ein ordentlicher Audit mehrfach verwehrt wurde.



    2 mal bearbeitet, zuletzt am 19.09.17 18:05 durch nachgefragt.

  4. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: AgentBignose 19.09.17 - 19:58

    Das sehe ich jetzt aber auch genauso!

    Ein Patch wäre sowieso nur bei Codeeinsicht, Modularisierung oder komplettem Reverse Engineering möglich.

    Von scheinbarer Unfähigkeit des Herstellers würde ich aber nicht sprechen, die sehe ich als erwiesen an!

    Das jetzt wo die ganze Welt hin zieht in der Zeit kaum noch eine Lösung zu finden ist an der keiner einen Haken findet kann ich mir vorstellen.
    Das Versäumnis ist eben längst geschehen, jetzt hat man die Konsequenzen.

  5. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: gfa-g 20.09.17 - 01:37

    > Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen
    > Patch an der Exportfunktion sabotiert.
    > Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten
    > Binary.
    > Erbsenzählerei
    Wenn man keine Ahnung von der Materie hat, scheint der Schritt klein.
    Praktisch gesehen funktioniert das nur so einfach wenn die Funktion zum Übersenden nur ein einer isolierten Stelle steht, sonst müssen x Stellen gefunden und entsprechend verstanden und dann geändert werden (so dass das Programm auch noch funktioniert).

    Aber selbst dann, ein Binärpatch wäre reichlich sinnlos, denn er wäre bei dem nächsten Kompilat obsolet.

    Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von Delphi.

    Sie haben wohl nur ein paar API-Hooks verwendet und den Netzverkehr geloggt.

    Daher auch die Erklärungen in C, und die Code-"Spende" in C#, obwohl das Programm in Delphi geschrieben ist, und somit nutzlos ist.
    Wenn dann braucht es eine sichere Bibliothek zur Verschlüsselung die in *Delphi* geschrieben ist. Alles andere ist Pseudohilfe, da es gerade wesentlich, dass nicht nur der theoretische Algorithmus, sondern seine konkrete Implementierung gehärtet ist.
    Ich bezweifle auch dass sie zu einem Code-Audit von Delphi-Quellen fähig wären.

    Der Entwickler mag unfähig sein, aber die CCC-Leute vermitteln eine gewisse Arroganz gepaart mit Ignoranz über den eigenen Tellerrand hinaus.

    Es fällt auch auf bei vielen im Forum auf, dass sie denken dass ein Ersetzen durch ihre bevorzugten Entwicklungswerkzeuge alles besser macht.
    Was der Bauer nicht kennt...



    1 mal bearbeitet, zuletzt am 20.09.17 01:40 durch gfa-g.

  6. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: emuuu 20.09.17 - 14:20

    gfa-g schrieb:
    --------------------------------------------------------------------------------
    > Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC
    > durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von
    > Delphi.
    >
    > [...]
    >
    > e-Audit von Delphi-Quellen fähig
    > wären.

    Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser sehr professionellen Firma, die PC Wahl vertreibt.
    Zunächst: Delphi ist keine Programmiersprache. Delphi ist eine Entwicklungsumgebung in der man Object Pascal "schreiben" kann.
    C# ist hingegen eine Programmiersprache, welche zumeist (bei weitem nicht ausschließlich) in der Entwicklungsumgebung Visual Studio verwendet wird. Allein der Punkt straft deine Aussage schon maßlosem Unwissen.

    Des Weiteren ist das Hauptproblem mit PC Wahl nicht der Code sondern das Konzept/die Architektur. Exakt den gleichen Mist wie bei PC Wahl hätte man in jeder anderen Sprache verzapfen können. Will meinen selbst wenn die Code-Spende in C# ist geht es hierbei nicht um die 1zu1-Übernahme dessen, sondern das klar wird wie etwas umgesetzt werden sollte.

    Und zu deiner Degradierung des CCC nicht kompetent genug für Delphi zu sein:
    Bei aktuellen (objektorientierten) Hochsprachen ist eine wie die andere. Sprich ein Entwickler der z.B. C# durch und durch beherrscht kann zwar vllt. nicht swift oder object pascal selber schreiben, weil er die Syntax nicht in dem Maße beherrscht, kann den Code in einer anderen Sprache aber i.d.R. immer verstehen.



    1 mal bearbeitet, zuletzt am 20.09.17 14:24 durch emuuu.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. FIEGE Logistik Stiftung & Co. KG, Hamburg
  2. Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut, EMI, Efringen-Kirchen
  3. Zurich Gruppe Deutschland, Bonn
  4. Kermi GmbH, Plattling

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€
  2. 19,99€
  3. 1,29€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

Lebensmittel-Lieferservices: Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
Lebensmittel-Lieferservices
Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"
  1. Kassenloser Supermarkt Technikfehler bei Amazon Go
  2. Amazon Go Kassenloser Supermarkt öffnet
  3. ThinQ LG fährt voll auf künstliche Intelligenz ab

  1. Quartalsbericht: Telekom macht 3,5 Milliarden Euro Gewinn
    Quartalsbericht
    Telekom macht 3,5 Milliarden Euro Gewinn

    Die Geschäfte der Telekom laufen sehr gut. Auch durch die US-Steuerreform stieg der Gewinn massiv an. 40.000 Kilometer neue Glasfaser verlegte die Telekom meist zur Erschließung für Vectoring.

  2. Land Rover Explore im Hands on: Das Smartphone für extreme Ansprüche
    Land Rover Explore im Hands on
    Das Smartphone für extreme Ansprüche

    MWC 2018 Bullitt verbündet sich mit dem Autohersteller Land Rover. Unter der Marke kommt ein Ruggedized-Smartphone auf den Markt. Das Explore kann mit Modulen erweitert werden und soll damit die Bedürnisse von Abenteuerurlaubern erfüllen.

  3. eActros: Elektrischer Mercedes-Benz-Lkw fährt schon 2018
    eActros
    Elektrischer Mercedes-Benz-Lkw fährt schon 2018

    Mercedes-Benz eActros nennt Daimler seinen neuen Lkw, der rein elektrisch fahren soll. Das Fahrzeug wird laut Unternehmen 2018 in den Kundeneinsatz gehen. Die Reichweite von bis zu 200 km macht das Fahrzeug für den Verteilerverkehr sinnvoll einsetzbar.


  1. 09:16

  2. 09:00

  3. 07:44

  4. 07:34

  5. 07:25

  6. 07:14

  7. 07:00

  8. 21:26