Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Geheimtreffen: Telekom will Partner…

"Offenlegung" von Quellcode und Wege der Manipulation

  1. Thema

Neues Thema Ansicht wechseln


  1. "Offenlegung" von Quellcode und Wege der Manipulation

    Autor: cpt.dirk 02.02.19 - 17:09

    Von einer "Offenlegung" im Sinne von "quelloffen" kann hier wohl keine Rede sein.

    Sich von der Vorlage eines wie auch immer gearteten, evtl. völlig undokumentierten Quellcodes, in Teilen oder im Ganzen, vor ein kleines Team von staatlichen Prüfern einen nennenswerten Sicherheitsgewinn zu erhoffen, ist wohl reine Selbsttäuschung, bzw. Illusion.

    In ein komplexes System, welches von großen, hochspezialisierten Teams in monate- oder jahrelanger Arbeit entwickelt wurde - auch bei einigermaßen guter Dokumentation - in einer hinreichend kurzen Zeit und hinreichend weit gedanklich vorzudringen, dazu bedarf es erheblicher personeller Resourcen und fachlicher Kompetenz, die so mutmaße ich, die Möglichkeiten einer kleinen staatlichen Behördenabteilung bei weitem übersteigt.

    Hinzu kommt noch die Anforderung, Fälle mit abzuschätzen, die nicht unmittelbar aus untersuchter Dokumentation, dem Code und der Hardware abgeleitet werden können, Bugs, Sollbruchstellen und mögliche Seitenkanalangriffe. Solche werden, selbst bei Open-Source, oft erst durch die kontinuierliche Audition von vielen verschiedenen Teams und Individuen (insgesamt tausende) und manchmal erst nach Jahren entdeckt.

    Völlig illusionär ist es daher wohl, anzunehmen, so etwas könne durch die Pseudoversion einer verdeckten Offenlegung von Quellcode vor eine kleine staatliche Prüfertruppe ersetzt werden.
    Wenn diese Aufgaben dann mangels Resourcen und Kompetenz wieder outgesourced werden müssen, kann man das ganze Procedere ohnehin gleich verwerfen.

    Man sollte auch nicht vergessen, dass zwischen Quellcode und kompilierten Blobs, bzw. dem letztlichen erwarteten Verhalten des Gesamtsystems zu unterscheiden ist, welche sich fundamental von ersterem unterscheiden können:

    - weil das Kompilat vom Hersteller selbst aus manipuliertem Quellcode erzeugt wurde
    - weil das Kompilat dem Quellcode entspricht, dieser sich aber den Prüfern nicht erschließt
    - weil das Kompilat bei der Prüfung dort mit manipuliertem Quellcode erstellt wird
    - weil das Kompilat mittels manipuliertem Compiler erzeugt wurde
    - weil das Kompilat mittels Compiler auf einem manipulierten System erzeugt wurde
    - weil das Kompilat mittels manipuliertem Flasher durch eine manipulierte Version ersetzt wird
    - weil das Kompilat im Nachgang von einem Agenten manipuliert wird
    - weil das Kompilat im laufenden Betrieb per OOB vom Hersteller manipuliert wird
    - weil das Kompilat in (geheimen) Betriebsmodi von der Hardware umgangen / erweitert wird
    ... usw.

    Eine Offenlegung der Hardwareschaltpläne würde auch - wenn überhaupt - nur bei penibler Überprüfung durch eine große Anzahl erfahrener Spezialisten etwas bringen (enorme Komplexität und viele-Augen-Prinzip) und viel Geld und noch mehr Zeit benötigen.

    Auch müsste eine exakte Umsetzung der Schaltpläne in Hardware durch enorm aufwendiges Reverse-Engineering überprüft werden.

    Schlussendlich sind manche Manipulationen auf Chipebene dermaßen subtil, dass ihr Nachweis mit wirtschaftlich vertretbaren Mitteln im Grunde gar nicht machbar ist, etwa die Schwächung von Hardwareverschlüsselungsroutinen durch gezielte Dotierungsverunreinigungen bei der Herstellung.

    s. auch:
    https://securinghardware.com/articles/do-i-have-a-hardware-implant/

  2. Danke für die gute Zusammenfassung (KwT)

    Autor: Kondratieff 08.02.19 - 09:34

    KwT

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Hays AG, Mannheim
  2. Stadtwerke München GmbH, München
  3. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  4. Universal Music GmbH, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Astrobiologie: Woher kommen das Leben, das Universum und der ganze Rest?
Astrobiologie
Woher kommen das Leben, das Universum und der ganze Rest?

Erst kam der Urknall, dann entstand zufällig Leben - oder es war alles vollkommen anders. Statt Materie und Energie könnten Informationen das Wichtigste im Universum sein, und vielleicht leben wir in einer Simulation.
Von Miroslav Stimac

  1. Astronomie Amateur entdeckt ersten echten interstellaren Kometen
  2. Astronomie Forscher entdeckten uralte Galaxien
  3. 2019 LF6 Großer Asteroid im Innern des Sonnensystems entdeckt

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

Surface Hub 2S angesehen: Das Surface Hub, das auch in kleine Meeting-Räume passt
Surface Hub 2S angesehen
Das Surface Hub, das auch in kleine Meeting-Räume passt

Ifa 2019 Präsentationen teilen, Tabellen bearbeiten oder gemeinsam auf dem Whiteboard skizzieren: Das Surface Hub 2S ist eine sichtbare Weiterentwicklung des doch recht klobigen Vorgängers. Und Microsofts Pläne sind noch ambitionierter.
Ein Hands on von Oliver Nickel

  1. Microsoft Nutzer berichten von defektem WLAN nach Surface-Update
  2. Surface Microsofts Dual-Screen-Gerät hat zwei 9-Zoll-Bildschirme
  3. Centaurus Microsoft zeigt intern ein Surface-Gerät mit zwei Displays

  1. Wirtschaftsförderung: Agentur für Sprunginnovationen kommt nach Leipzig
    Wirtschaftsförderung
    Agentur für Sprunginnovationen kommt nach Leipzig

    Nach dem Vorbild der Darpa will die Bundesregierung künftig innovative Projekte fördern. Damit erhält bereits die zweite Innovationsagentur des Bundes ihren Sitz in Ostdeutschland.

  2. UPC: Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein
    UPC
    Größter Kabelnetzbetreiber führt 1 GBit/s im ganzen Netz ein

    Bei UPC wird noch in diesem Monat 1 GBit/s im gesamten Netz angeboten, was in Deutschland noch keiner aus der Kabelnetz-Branche geschafft hat. Auch Sunrise baut sein 5G-Angebot als Glasfaser-Ersatz aus.

  3. Intel-Prozessor: Core i9-9900KS tritt mit 127 Watt TDP an
    Intel-Prozessor
    Core i9-9900KS tritt mit 127 Watt TDP an

    Acht Kerne mit bis zu 5 GHz für alle: Der Core i9-9900KS erscheint im Oktober 2019 und wird die vorerst schnellste Gaming-CPU. Erste Firmware-Updates zeigen, dass Intel die nominelle Verlustleistung von 95 Watt auf 127 Watt anhebt. Für vollen Takt wird das aber nicht reichen.


  1. 18:11

  2. 17:51

  3. 15:54

  4. 15:37

  5. 15:08

  6. 15:00

  7. 14:53

  8. 14:40