1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Responsible Disclosure: "Wir sollten…

Denkfehler oder keine Ahnung von der Materie

  1. Thema

Neues Thema Ansicht wechseln


  1. Denkfehler oder keine Ahnung von der Materie

    Autor: v2nc 07.06.17 - 15:04

    Er sagt doch selber "Mein Problem ist, dass Cybercrime-Banden regelrecht nach kritischen Sicherheitslücken jagen und aktuelle Patches per Reverse-Engineering analysieren." Wie will er das verhindern ? Keine Patches mehr raus bringen ?

    Die Verantwortung Patches einzuspielen liegt natürlich beim Benutzer, er trägt auch den Schaden. Genau so ist er selber schuld wenn er den Patch nicht einspielt. Schlimm wird es dann, wenn, wie der schlaue Herr es sich vorstellt, keine genauen Informationen zu Sicherheitslücken bekannt gegeben werden. Kein Benutzer kann dann überhaupt abschätzen wie kritisch diese Sicherheitslücke ist, ob er ohne Patch komplett auf die Benutzung des Programms verzichtet zum Beispiel. Er kann genau so wenig den Patch selber schreiben geschweige denn überprüfen ob der bereitgestellte Patch die Lücke überhaupt schließt.
    Selbst wenn wir de angeblichen "Vorteile" dieser Praktik als solche ansehen überwiegen für mich ganz klar die Nachteile.

    Ein echter sicherheitsexperte sollte vernünftig zwischen diese Aspekten abwägen und zumindest Nachteile erwähnen. Der hier interviewte man versucht aber meiner Meinung nach die Erklärung der Notwendigkeit so kurz wie möglich zu halten, um danach schön Eigenwerbung zu machen. Ich würde den Mann feuern.

    Alleine der Satz : "Wir entscheiden immer wieder, welche Angriffsvektoren die besten sind, um unsere eigene Software zu testen" was soll der bitte bedeuten ?? Wie soll das immer wieder entschieden werden die angriffsvektoren sind immer die gleichen. Und was sollen die besten sein ? Wenn man nicht alle testet kann man es auch lassen. Da werde ich ja schon fast aggressiv :D

    @golem verstehe aber auch nicht wieso das hier unreflektiert abgedruckt wird, ist das das neue clickbaiting ?



    1 mal bearbeitet, zuletzt am 07.06.17 15:06 durch v2nc.

  2. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: Voutare 07.06.17 - 15:31

    Zum erste teil, es gibt schon schöne antworten im Thread "Widerspricht er sich da nicht selbst?"

    Um es kurz zu fassen:
    Mit weniger Info wird der Reverse Engineering (meist) länger dauern und damit ist mehr zeit da um Patches ein zu spielen.

  3. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: Quantium40 07.06.17 - 15:32

    v2nc schrieb:
    > Die Verantwortung Patches einzuspielen liegt natürlich beim Benutzer, er
    > trägt auch den Schaden.
    > Genau so ist er selber schuld wenn er den Patch nicht einspielt.
    In anbetracht der Vielzahl von Patches, die neue Fehler etablieren, sollte man damit vorsichtig sein, dem Nutzer die alleinige Verantwortung zuzuschieben. Die patchbedürftigen Fehler stammen immerhin vom Hersteller.

    > Schlimm wird es dann, wenn, wie der schlaue Herr es sich
    > vorstellt, keine genauen Informationen zu Sicherheitslücken bekannt gegeben
    > werden. Kein Benutzer kann dann überhaupt abschätzen wie kritisch diese
    > Sicherheitslücke ist, ob er ohne Patch komplett auf die Benutzung des
    > Programms verzichtet zum Beispiel.
    Dazu braucht es allerdings gar keine exakten Informationen, sondern es reicht eine grobe Kategorisierung, was mit welchen Rechten möglich ist.

    > @golem verstehe aber auch nicht wieso das hier unreflektiert abgedruckt
    > wird, ist das das neue clickbaiting ?
    Das nennt sich Interview. Die werden selten direkt kommentiert.

  4. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: SJ 07.06.17 - 15:36

    Voutare schrieb:
    --------------------------------------------------------------------------------

    > Um es kurz zu fassen:
    > Mit weniger Info wird der Reverse Engineering (meist) länger dauern und
    > damit ist mehr zeit da um Patches ein zu spielen.

    Im OpenSource Bereich hast du ja den ganzen Quellcode der gerade gepatcht wurde... was bringt da weniger Infos in CVEs?

    --
    Wer all meine Fehler findet und die richtig zusammensetzt, erhält die geheime Formel wie man Eisen in Gold umwandeln kann.

  5. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: Voutare 07.06.17 - 16:20

    Wie mit reverse Engineering auch. (was auch nicht aufgehalten werden kann)

    Von der Code aus ohne Beschreibung der Lücke ausnutzen ist nicht immer trivial.

  6. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: Trockenobst 07.06.17 - 18:22

    SJ schrieb:
    --------------------------------------------------------------------------------
    > Im OpenSource Bereich hast du ja den ganzen Quellcode der gerade gepatcht
    > wurde... was bringt da weniger Infos in CVEs?

    Da muss man in einem riesigen Patchberg des Tages/Woche/Monat den finden, der mit der CVE im Einklang steht. Das können nur die wenigsten, wenn man nicht genau sagt was man sucht.

    MMn ist die ganze Idee Schrott. Informationsvorsprünge werden immer wieder von irgendwem genutzt, wenn nicht die Bösewichte die Geld verdienen wollen, die Leute mit der komischen Ideologie oder politischen Motivationen.

    Solange die Softwarewelt so ist wie sie ist, und die Infrastruktur mit Chinaware (IoT-Horrorwelt mit Mega-Botnetzen) noch schlimmer wird, kann man einfach nur noch hoffen dass man selbst genug tut. Der Rest da draußen wird es NICHT tun.

  7. Re: Denkfehler oder keine Ahnung von der Materie

    Autor: cpt.dirk 11.06.17 - 16:00

    v2nc schrieb:
    --------------------------------------------------------------------------------
    > Die Verantwortung Patches einzuspielen liegt natürlich beim Benutzer, er
    > trägt auch den Schaden. Genau so ist er selber schuld wenn er den Patch
    > nicht einspielt.
    Kann man so pauschal nicht sagen. Ein Großteil der proprietären Systeme "da draußen" lässt sich entweder gar nicht (mangels Updates oder Tooling per se) oder nur automatisch vom Hersteller updaten (falls das überhaupt passiert), s. IoT, Router und Firmware generell.

    Und das Beispiel Windows zeigt, dass im Zweifel Anwender auch bei Betriebssystemen zwangsbeglückt werden können, egal, ob es um Sicherheitsfixes oder unerwünschte "Features" geht.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. ING Deutschland, Frankfurt am Main (m/w/d)
  2. PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft, verschiedene Standorte
  3. Horváth & Partners Management Consultants, Stuttgart
  4. akf bank GmbH & Co KG, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Logistik: Hamburg bekommt eine Röhre für autonome Warentransporte
Logistik
Hamburg bekommt eine Röhre für autonome Warentransporte

Ein Kölner Unternehmen will eine neue Elbunterquerung bauen, die nur für autonom fahrende Transporter gedacht ist.
Ein Bericht von Werner Pluta

  1. Intelligente Verkehrssysteme Wenn Autos an leeren Kreuzungen warten müssen
  2. Verkehr Akkuzüge sind günstiger als Brennstoffzellenzüge
  3. Hochgeschwindigkeitszug JR Central stellt neuen Shinkansen in Dienst

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


    CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
    CalyxOS im Test
    Ein komfortables Android mit einer Extraportion Privacy

    Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
    Ein Test von Moritz Tremmel

    1. Alternatives Android im Test /e/ will Google ersetzen