Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › PC-Wahl: CCC patcht Wahlsoftware…

Falsche Überschrift -- da wird nichts gepatcht!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Falsche Überschrift -- da wird nichts gepatcht!

    Autor: Richtig Steller 19.09.17 - 13:28

    Meldungen wie diese regen mich auf.

    Wir schimpfen immer über Klickbaiting und Co.

    Aber bei den "eigenen" Themen, wo wir glauben selber die "Guten" zu sein, bedienen wir uns voll und ganz der Klickbait-Schiene, sind ungenau und machen all das, was wir sonst kritisieren.

    Der CCC hat keinen *Patch* für irgendeine Software bereitgestellt.

    Er zeigt *lediglich* eine Beispielimplementierung einer möglichen Lösung. Ein Proof Of Concept (PoC). Mehr nicht.

    Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt weiterhelfen kann?

    Wenn ein Onlinemagazin für Profis nun nicht einmal weiß was ein Patch ist bzw. glaubt bei so einem wichtigen Thema es nicht genau nehmen zu müssen (Hey! Das ist ja der CCC! Unsere Jungs und Mädels!) dann habe ich bald keine Hoffnung mehr...

    Aber Hauptsache draufhauen und sich über die scheinbare Unfähigkeit der kleinen Softwareklitsche lustig machen.

  2. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: ikhaya 19.09.17 - 13:31

    Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen Patch an der Exportfunktion sabotiert.
    Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten Binary.
    Erbsenzählerei

  3. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: nachgefragt 19.09.17 - 18:04

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------
    > Eine seriöse Berichterstattung hätte das erkannt, eingeordnet und die
    > PR-Welle des CCC zumindest dahingehend gebrochen. Wieso geht der Artikel
    > nicht einmal darauf ein, ob die Software überhaupt in C# vorliegt und der
    > Beispielcode den Entwicklern damit abgesehen von der Idee überhaupt
    > weiterhelfen kann?

    https://www.heise.de/newsticker/meldung/Maengel-in-der-Wahlsoftware-seit-Monaten-bekannt-3834197.html

    https://ccc.de/system/uploads/230/original/PC-Wahl_Bericht_CCC.pdf

    Wurd doch erst vor 4 Tagen drüber berichtet, dass ein ordentlicher Audit mehrfach verwehrt wurde.



    2 mal bearbeitet, zuletzt am 19.09.17 18:05 durch nachgefragt.

  4. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: AgentBignose 19.09.17 - 19:58

    Das sehe ich jetzt aber auch genauso!

    Ein Patch wäre sowieso nur bei Codeeinsicht, Modularisierung oder komplettem Reverse Engineering möglich.

    Von scheinbarer Unfähigkeit des Herstellers würde ich aber nicht sprechen, die sehe ich als erwiesen an!

    Das jetzt wo die ganze Welt hin zieht in der Zeit kaum noch eine Lösung zu finden ist an der keiner einen Haken findet kann ich mir vorstellen.
    Das Versäumnis ist eben längst geschehen, jetzt hat man die Konsequenzen.

  5. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: gfa-g 20.09.17 - 01:37

    > Der CCC hat auch die Signaturprüfung übersprungen und die Stimmen durch nen
    > Patch an der Exportfunktion sabotiert.
    > Da fehlt nach ner Beispielimplementierung nicht viel zu nem geänderten
    > Binary.
    > Erbsenzählerei
    Wenn man keine Ahnung von der Materie hat, scheint der Schritt klein.
    Praktisch gesehen funktioniert das nur so einfach wenn die Funktion zum Übersenden nur ein einer isolierten Stelle steht, sonst müssen x Stellen gefunden und entsprechend verstanden und dann geändert werden (so dass das Programm auch noch funktioniert).

    Aber selbst dann, ein Binärpatch wäre reichlich sinnlos, denn er wäre bei dem nächsten Kompilat obsolet.

    Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von Delphi.

    Sie haben wohl nur ein paar API-Hooks verwendet und den Netzverkehr geloggt.

    Daher auch die Erklärungen in C, und die Code-"Spende" in C#, obwohl das Programm in Delphi geschrieben ist, und somit nutzlos ist.
    Wenn dann braucht es eine sichere Bibliothek zur Verschlüsselung die in *Delphi* geschrieben ist. Alles andere ist Pseudohilfe, da es gerade wesentlich, dass nicht nur der theoretische Algorithmus, sondern seine konkrete Implementierung gehärtet ist.
    Ich bezweifle auch dass sie zu einem Code-Audit von Delphi-Quellen fähig wären.

    Der Entwickler mag unfähig sein, aber die CCC-Leute vermitteln eine gewisse Arroganz gepaart mit Ignoranz über den eigenen Tellerrand hinaus.

    Es fällt auch auf bei vielen im Forum auf, dass sie denken dass ein Ersetzen durch ihre bevorzugten Entwicklungswerkzeuge alles besser macht.
    Was der Bauer nicht kennt...



    1 mal bearbeitet, zuletzt am 20.09.17 01:40 durch gfa-g.

  6. Re: Falsche Überschrift -- da wird nichts gepatcht!

    Autor: emuuu 20.09.17 - 14:20

    gfa-g schrieb:
    --------------------------------------------------------------------------------
    > Das Programm ist in Delphi geschrieben, und wenn man sich die PDF des CCC
    > durchliest, haben die Autoren des CCC offensichtlich keine Ahnung von
    > Delphi.
    >
    > [...]
    >
    > e-Audit von Delphi-Quellen fähig
    > wären.

    Wenn ich mir deine anderen Posts durchlese bin ich fast der Meinung du gehörst zu dieser sehr professionellen Firma, die PC Wahl vertreibt.
    Zunächst: Delphi ist keine Programmiersprache. Delphi ist eine Entwicklungsumgebung in der man Object Pascal "schreiben" kann.
    C# ist hingegen eine Programmiersprache, welche zumeist (bei weitem nicht ausschließlich) in der Entwicklungsumgebung Visual Studio verwendet wird. Allein der Punkt straft deine Aussage schon maßlosem Unwissen.

    Des Weiteren ist das Hauptproblem mit PC Wahl nicht der Code sondern das Konzept/die Architektur. Exakt den gleichen Mist wie bei PC Wahl hätte man in jeder anderen Sprache verzapfen können. Will meinen selbst wenn die Code-Spende in C# ist geht es hierbei nicht um die 1zu1-Übernahme dessen, sondern das klar wird wie etwas umgesetzt werden sollte.

    Und zu deiner Degradierung des CCC nicht kompetent genug für Delphi zu sein:
    Bei aktuellen (objektorientierten) Hochsprachen ist eine wie die andere. Sprich ein Entwickler der z.B. C# durch und durch beherrscht kann zwar vllt. nicht swift oder object pascal selber schreiben, weil er die Syntax nicht in dem Maße beherrscht, kann den Code in einer anderen Sprache aber i.d.R. immer verstehen.



    1 mal bearbeitet, zuletzt am 20.09.17 14:24 durch emuuu.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Evangelischer Oberkirchenrat Stuttgart, Stuttgart
  2. beauty alliance Deutschland GmbH & Co. KG, Bielefeld
  3. Daimler AG, Gaggenau
  4. Trescal GmbH, Neustadt in Sachsen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 29,99€
  2. 7,99€
  3. 16,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

Thinkpad 25 im Hands on: Für ein 4:3-Notebook reichte es dann doch nicht
Thinkpad 25 im Hands on
Für ein 4:3-Notebook reichte es dann doch nicht
  1. Lenovo Thinkpad 25 Japanische Jubiläums-Bento-Box mit Retro-Extras
  2. Service by Beep Lenovos PC-Diagnostics-App soll auch für iOS kommen
  3. Lenovo Thinkpad A275 Business-Notebook nutzt AMDs Bristol Ridge

Dokumentarfilm Pre-Crime: Wenn Computer Verbrechen vorhersagen
Dokumentarfilm Pre-Crime
Wenn Computer Verbrechen vorhersagen

  1. Samyang: Schnelles Weitwinkelobjektiv für Sonys FE-Kameras
    Samyang
    Schnelles Weitwinkelobjektiv für Sonys FE-Kameras

    Sony hat mit der FE-Serie spiegellose Kameras im Sortiment, für die viele Dritthersteller Objektive anbieten. Neu ist das Autofokusobjektiv mit 35 mm und f/1,4 von Samyang, das als lichtstarke und erschwingliche Lösung gedacht ist.

  2. USB-C: DxO zeigt Ansteckkamera für Android-Smartphones
    USB-C
    DxO zeigt Ansteckkamera für Android-Smartphones

    Die Ansteckkamera von DxO hat bisher nur iPhone-Nutzern zu besseren Fotos verholfen, jetzt folgt eine Neuauflage für USB-C-Smartphones mit Android-Betriebssystem. Und auch für die iOS-App gibt es Neuerungen.

  3. SSD: Samsungs 860 Evo und 970/980 gesichtet
    SSD
    Samsungs 860 Evo und 970/980 gesichtet

    In naher Zukunft soll Samsung sein Midrange- und Highend-SSD-Portfolio aktualisieren: Die 860 Evo im 2,5-Zoll-Formfaktor und die 970/980 Evo oder Pro tauchen jeweils in Datenbanken auf. Als plausibler Termin wird Januar 2018 genannt.


  1. 09:11

  2. 08:55

  3. 07:37

  4. 07:27

  5. 23:03

  6. 19:01

  7. 18:35

  8. 18:21