Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Rezension zu "Cyberwar": Wie moderne…

Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

  1. Thema

Neues Thema Ansicht wechseln


  1. Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: /mecki78 09.10.18 - 17:31

    > Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Dieser Satz lässt tief blicken. Denn er zeigt, das man mit einem komplett falschen Ansatz an die Sache heran geht. Man baut nicht erst ein System irgendwie und überlegt sich hinterher wie man das jetzt absichern kann und stellt dann fest, da reicht die Zeit oder das Geld nicht mehr für. Vernünftige Hersteller entwerfen das System von Anfang an sicher, da muss dann hinter nichts abgesichert werden, denn das System ist zu keinem Zeitpunkt unsicher gewesen.

    Ich habe beruflich schon mehrere solche Systeme entwerfen dürfen und da stand das Sicherheitskonzept immer schon fest, noch bevor auch nur ein Buchstabe Code irgendwo getippt wurde. Sicherheit ist nicht etwas, das man hinterher über ein System drüber stülpen kann, wenn Sicherheit nicht von Tag Null an Teil der Planung war, dann ist das System wahrscheinlich nicht sicher und wird es auch nie mehr werden, denn irgendwie hinter Sicherheit in ein unsicheres System "frickeln" zu wollen, das kann nur schief gehen.

    /Mecki

  2. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: quasides 09.10.18 - 22:00

    lol sie haben entweder noch gar nichts entworfen oder sinnloserweise geld für null leistung erhalten. ihr beitrag zeigt nur das sie fachlich da gar nicht kompetent sind.

    wir reden hier nicht von standard sicherheit für den kmu

    das problem ist das man vorher gar nicht weis wogegen man sich eigentlich absichern muss weil allein die anzahl theoretischer angriffsvektor mittlerweile gar nicht mehr abschätzbar ist.

    zumal jede adaption oder erweiterung der anwendungen im zielsystem weitere mögliche vektoren öffnet die man bei der konzeption gar nicht kannte.

    es ist jar nichteinmal bekannt wie viele mögliche zerodays es gibt und auf welcher ebene.
    ob nun hardware, netzwerk, os, anwendungen und letztendlich user.

    selbst rudimentäre absicherungen wie Intrusiondetection, DPI, ende zu ende verschlüsselung etc etc sind keineswegs geeignet volle sicherheit zu erlangen. es reduzieren sich blos die anzahl der vektoren bzw macht gezielte angriffe eventuell komplexer.

    am ende bleibst aber dabei das man sich erst hinterher absichern kann wenn man weis wie die jetzige absicherung umgangen wurde.
    alternativ müsste man eine vielzahl an leuten beschäftigen die zusammen mit automatisierten methoden jeder möglichen layer inklusive den layer user bis zum umfallen zu bruteforcen

    selbst die komplette abkoplung exterer netze ist theoiretisch wie praktisch keine absicherung per se wenngleich die wohl umfassendste zumindest wenn externe medien gesperrt werden.

  3. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: Cok3.Zer0 10.10.18 - 01:07

    Jeder ist zu einem gewissen Grad bereits kompromittiert. Logging mit IPSec im Netzwerk ist ein wichtiges Element, das fast nichts kostet.

  4. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: x2k 10.10.18 - 09:21

    quasides schrieb:
    --------------------------------------------------------------------------------
    > mögliche vektoren öffnet die man bei der konzeption gar nicht kannte.
    >
    > es ist jar nichteinmal bekannt wie viele mögliche zerodays es gibt und auf
    > welcher ebene.
    > ob nun hardware, netzwerk, os, anwendungen und letztendlich user.
    >
    > selbst rudimentäre absicherungen wie Intrusiondetection, DPI, ende zu ende
    > verschlüsselung etc etc sind keineswegs geeignet volle sicherheit zu
    > erlangen. es reduzieren sich blos die anzahl der vektoren bzw macht

    Hier wird ständig von Vektoren gesprochen....

    https://de.m.wikipedia.org/wiki/Vektor

  5. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: minnime 10.10.18 - 10:40

    Das ist auch alles gar nicht so einfach mit der Sicherheit. Ich behaupte, die meisten Softwareentwickler haben kaum Ahnung von Sicherheit, schon allein weil es gar nicht in dem notwendigen Maße an den Unis ausgebildet wird. Bspw. die Meltdownlücke ist schon ein wenig abwegig, da wäre ich gar nicht auf die Idee gekommen an dieser Stelle zu suchen um sie auszunutzen geschweige denn soetwas abzusichern.

  6. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: /mecki78 10.10.18 - 12:57

    minnime schrieb:
    --------------------------------------------------------------------------------
    > Bspw. die Meltdownlücke ist schon ein wenig abwegig, da wäre ich gar
    > nicht auf die Idee gekommen an dieser Stelle zu suchen um sie auszunutzen
    > geschweige denn soetwas abzusichern.

    Du kannst natürlich so etwas auch nur dann absichern, wenn es zum Zeitpunkt der Entwicklung bereits bekannt war, aber derartige Sicherheitslücken sind weniger die Lücken, um die es hier eigentlich geht. Es gibt Grundsätzlich 3 Arten von Sicherheitslücken:

    1) Lücken, für die der Entwickler nichts kann. Manchmal macht ein Entwickler alles richtig und dennoch entsteht eine Sicherheitslücke. OpenSSL Entwickler können ein Lied davon singen. Wenn es das System oder die Hardware ist, die zu der Sicherheitslücke führt, dann ist mein Code an dieser Lücke nicht schuld. In diesem Fall kann man die Lücke ggf. dennoch umgehen, wenn man seinen Code verändert, falls nicht, dann hilft nur ein Systemupdate, ansonsten sind dir als Entwickler die Hände gebunden.

    2) Lücken, die aufgrund von Programmierfehlern entstehen. Hier wollte der Entwickler alles richtig machen, aber durch einen dummen kleinen Fehler irgendwo im Code ist eine Sicherheitslücke entstanden. So etwas kommt leider vor und dann muss der Fehler eben behoben werden. Solche Lücken sind fast unvermeidbar. Man kann nur versuchen durch Code Reviews und automatisch Tools, die solche Lücken aufzuspüren, so viele wie möglich davon vor dem Release noch zu finden und zu beheben, aber das da auch mal eine durchrutscht, das passiert einfach.

    3) Lücken, die aufgrund des Designs entstehen. Hier ist nicht der geschriebene Code schuld, sondern das Designkonzept, wie es vorab entworfen wurde, ist bereits unsicher. Klassischer Fall von Broken by Design. Dieses Lücken lassen sich oft nur schwer oder gar nicht beheben, weil man dazu das Design verändern müsste und damit aber inkompatibel wird, bzw. man muss dann ggf. am Server beide Designs Unterstützung und eine Versionierung im Protokoll einführen, was aber Aufwand und Kosten enorm nach oben treibt, weil man beide Versionen pflegen muss.

    Hier geht es primäre um Lücken der Kategorie 3. Ein Standardpasswort zu verwenden, das immer gleich ist und das der Nutzer nicht ändern muss, das ist ein Designfehler. Da hat sich niemand vergprommiert und das ist auch kein Problem vom System oder der Hardware. Genauso ist ein Designfehler, wenn kein Weg vorgesehen ist, die Firmware updaten zu können, weil dann lassen sich Fehler der Kategorie 2 auch nicht beheben. Auch wenn man nur unverschlüsselte Kommunikation vorsieht, weil man denkt auf Verschlüsselung kann man getrost dabei verzichten und das dann aber zum Problem wird, ist das ein Problem der Kategorie 3.

    /Mecki

  7. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: /mecki78 10.10.18 - 13:09

    quasides schrieb:
    --------------------------------------------------------------------------------
    > lol sie haben entweder noch gar nichts entworfen oder sinnloserweise geld
    > für null leistung erhalten.

    Wenn sie anfangen Posts so zu schreiben, dass sie nicht aussehen als hätte ihn ein 12-jähriges Schulkind verfasst (keine korrekte Großschreibung, keine korrekte Verwendung von Satzzeichen, voller Rechtschreib- und Grammatikfehler), dann könnte man das Thema vielleicht auch ernsthaft mit ihnen diskutieren. Denn wie jeder weiß, der es versucht, bekommen vernünftige Posts von mir auch eine vernünftige Antwort:

    https://forum.golem.de/kommentare/security/rezension-zu-cyberwar-wie-moderne-gesellschaften-in-den-cyberkrieg-abdriften/oft-werden-systeme-erst-dann-geschuetzt-wenn-es-zu-spaet-ist./121177,5201028,5201812,read.html#msg-5201812

    So aber muss ich annehmen, dass sie weder über die notwendige Qualifikation, Ausbildung oder Kernkompetenz verfügen, um sich zu diesem Thema überhaupt äußeren zu können und in bester Dunning-Kruger Manier [1] mein Fachkompetenz weit unterschätzen, ihre eigene aber maßlos überschätzen und so etwas muss ich mit keiner Antwort würdigen, denn das wäre etwa so wie wenn ein Kernkraftphysiker sich mit einem LKW Fahrer über den sicheren Betrieb von Atomkraftwerken unterhalten würde.

    [1] https://de.wikipedia.org/wiki/Dunning-Kruger-Effekt

    /Mecki



    1 mal bearbeitet, zuletzt am 10.10.18 13:13 durch /mecki78.

  8. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: FreiGeistler 10.10.18 - 16:47

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > quasides schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > lol sie haben entweder noch gar nichts entworfen oder sinnloserweise
    > geld
    > > für null leistung erhalten.
    >
    > Wenn sie anfangen Posts so zu schreiben, dass sie nicht aussehen als hätte
    > ihn ein 12-jähriges Schulkind verfasst (keine korrekte Großschreibung,
    > keine korrekte Verwendung von Satzzeichen, voller Rechtschreib- und
    > Grammatikfehler), dann könnte man das Thema vielleicht auch ernsthaft mit
    > ihnen diskutieren. Denn wie jeder weiß, der es versucht, bekommen
    > vernünftige Posts von mir auch eine vernünftige Antwort:
    >
    > forum.golem.de#msg-5201812
    >
    > So aber muss ich annehmen, dass sie weder über die notwendige
    > Qualifikation, Ausbildung oder Kernkompetenz verfügen, um sich zu diesem
    > Thema überhaupt äußeren zu können und in bester Dunning-Kruger Manier [1]
    > mein Fachkompetenz weit unterschätzen, ihre eigene aber maßlos überschätzen
    > und so etwas muss ich mit keiner Antwort würdigen, denn das wäre etwa so
    > wie wenn ein Kernkraftphysiker sich mit einem LKW Fahrer über den sicheren
    > Betrieb von Atomkraftwerken unterhalten würde.
    >
    > [1] de.wikipedia.org

    Werde doch nicht so überheblich.
    Das hängt doch ganz von den Interessen des LKW-Fahrers ab ;D
    (Das schreibe ich als Informatiker, der sich mit Quantenmechanik auskennt.)

  9. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: Anonymer Nutzer 11.10.18 - 05:32

    wenn die form über die substanz geht, das hast du hier sehr schön. mit deinem *beitrag* demonstriert ...

    sry, ich hatte nur eine hand für dich frei, gemeine stänkerer werden schon dreimal nicht doppelt angefasst.

    zurück zum thema, ein problem ist die gestiegene komplexität und integration, d.h. systeme werden heute nicht in ihre atomaren komponeten/funktionen zerlegbar entworfen sondern maximal als schon viele funktionen fassende baugruppen ausgeliefert, hardware- wie softwareseitig schlummert da viel potential die angriffsfäche auf das tatsächlich zur einsatzfunktion nötigste zu reduzieren.

    stellt euch mal vor ein router würde mit einer firmware bespielt, die nur das gewünschte verhalten und für die umkonfigratien auch gar nichts selbst mitbringt ... nur hardcoded das gewünschte routing macht ...

    der wäre um einges weniger unsicher einzuschätzen als diese eier legenden wollmilchsäue, die i.d.r. einmal konfiguriert bis zum versagen als heute überall vor sich hin brummenden bomben mit geschätzt unabzählbar vielen fernzündemechanismen, oder nicht?



    1 mal bearbeitet, zuletzt am 11.10.18 05:44 durch ML82.

  10. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: Kleba 11.10.18 - 07:11

    /mecki78 schrieb:
    --------------------------------------------------------------------------------
    > 3) Lücken, die aufgrund des Designs entstehen. Hier ist nicht der
    > geschriebene Code schuld, sondern das Designkonzept, wie es vorab entworfen
    > wurde, ist bereits unsicher. Klassischer Fall von Broken by Design.

    Ein anderes "schönes" Beispiel hierfür ist auch das BeA. Das lässt sich aufgrund des fehlerhaften Designs auch nicht so einfach reparieren.

  11. Re: Oft werden Systeme erst dann geschützt, wenn es zu spät ist.

    Autor: minnime 11.10.18 - 09:31

    Lücken der Kategorie 1 sind wirklich die Creme de la Creme, um sowas zu machen muss man schon ordentlich Ressourcen - Aufwand als auch Wissen - bereitstellen. An sowas denken die meisten im Alltag gar nicht.
    Kategorie 2 ist der ganz normal Alltag wie ihn jeder kennt.
    Kategorie 3 ist die Stelle an der man effektivsten ansetzen kann. Aber auch hier gilt was ich sagte. Selbst dafür fehlt oft einfach das Wissen. Beispiel die Ablage von Passwörtern. Man sollte sie als Hash speichern und zwar nicht einfach so sondern gesaltet. Nun kann man das Salt auf verschiedene Arten realisieren. Man muss sich schon auskennen um die Risiken der jeweiligen Arten zu erkennen. Dann darf es auch nicht irgendein Hash sein, sondern am besten sowas wie bcrypt. Und das sind Sachen die man sich nicht als fertige Bibliothek beziehen kann, das muss man selbst entscheiden, wenn man ein eigenes System baut.
    Anderes Beispiel, wenn man etwas verschlüsseln und die Integrität prüfen will. Da gibt es die Varianten MAC then Crypt und Crypt then MAC. Für den unbedarften sieht beiden gleich aus aber bei MAC then Crypt kann man einen bösen Fehler reinbauen. Wobei man das noch mit fertigen Implementierungen lösen kann, je nachdem wie stark man kapseln will.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Etkon GmbH, Gräfelfing
  2. MACH AG, Berlin, Lübeck
  3. DIBT Deutsches Institut für Bautechnik, Berlin
  4. Dataport, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 0,49€
  2. 69,99€ (Release am 25. Oktober)
  3. (-70%) 5,99€
  4. (-67%) 3,30€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Warum der Ladestrom so teuer geworden ist
Elektromobilität
Warum der Ladestrom so teuer geworden ist

Das Aufladen von Elektroautos an einer öffentlichen Ladesäule kann bisweilen teuer sein. Golem.de hat mit dem Ladenetzbetreiber Allego über die Tücken bei der Ladeinfrastruktur und den schwierigen Kunden We Share gesprochen.
Ein Bericht von Friedhelm Greis

  1. Elektromobilität Hamburg lädt am besten, München besser als Berlin
  2. Volta Charging Werbung soll kostenloses Elektroauto-Laden ermöglichen
  3. Elektromobilität Allego stellt 350-kW-Lader in Hamburg auf

iPad 7 im Test: Nicht nur für Einsteiger lohnenswert
iPad 7 im Test
Nicht nur für Einsteiger lohnenswert

Auch mit der siebten Version des klassischen iPads richtet sich Apple wieder an Nutzer im Einsteigersegment. Dennoch ist das Tablet sehr leistungsfähig und kommt mit Smart-Keyboard-Unterstützung. Wer ein gutes, lange unterstütztes Tablet sucht, kann sich freuen - ärgerlich sind die Preise fürs Zubehör.
Ein Test von Tobias Költzsch

  1. iPad Einschränkungen für Apples Sidecar-Funktion
  2. Apple Microsoft Office auf neuem iPad nicht mehr kostenlos nutzbar
  3. Tablet Apple bringt die 7. Generation des iPads

Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

  1. Mark Zuckerberg: Freiheit ist immer die Freiheit von Facebook
    Mark Zuckerberg
    Freiheit ist immer die Freiheit von Facebook

    Facebook-Chef Mark Zuckerberg hat sich in einer Rede als Hüter der Meinungsfreiheit aufgespielt. Darunter versteht er vor allem den eigenen Vorteil.

  2. Proteste in Hongkong: Hochrangige US-Politiker schreiben an Activision und Apple
    Proteste in Hongkong
    Hochrangige US-Politiker schreiben an Activision und Apple

    Alexandria Ocasio-Cortez, Marco Rubio und weitere Politiker der großen US-Parteien haben offene Briefe an die Chefs von Activision Blizzard und Apple geschrieben. Sie fordern darin, dass die Firmen nicht mehr die chinesische Regierung in deren Kampf gegen die Proteste in Hongkong unterstützen.

  3. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.


  1. 11:20

  2. 14:43

  3. 13:45

  4. 12:49

  5. 11:35

  6. 18:18

  7. 18:00

  8. 17:26