Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Geheimtreffen: Telekom will Partner…

"Offenlegung" von Quellcode und Wege der Manipulation

  1. Thema

Neues Thema Ansicht wechseln


  1. "Offenlegung" von Quellcode und Wege der Manipulation

    Autor: cpt.dirk 02.02.19 - 17:09

    Von einer "Offenlegung" im Sinne von "quelloffen" kann hier wohl keine Rede sein.

    Sich von der Vorlage eines wie auch immer gearteten, evtl. völlig undokumentierten Quellcodes, in Teilen oder im Ganzen, vor ein kleines Team von staatlichen Prüfern einen nennenswerten Sicherheitsgewinn zu erhoffen, ist wohl reine Selbsttäuschung, bzw. Illusion.

    In ein komplexes System, welches von großen, hochspezialisierten Teams in monate- oder jahrelanger Arbeit entwickelt wurde - auch bei einigermaßen guter Dokumentation - in einer hinreichend kurzen Zeit und hinreichend weit gedanklich vorzudringen, dazu bedarf es erheblicher personeller Resourcen und fachlicher Kompetenz, die so mutmaße ich, die Möglichkeiten einer kleinen staatlichen Behördenabteilung bei weitem übersteigt.

    Hinzu kommt noch die Anforderung, Fälle mit abzuschätzen, die nicht unmittelbar aus untersuchter Dokumentation, dem Code und der Hardware abgeleitet werden können, Bugs, Sollbruchstellen und mögliche Seitenkanalangriffe. Solche werden, selbst bei Open-Source, oft erst durch die kontinuierliche Audition von vielen verschiedenen Teams und Individuen (insgesamt tausende) und manchmal erst nach Jahren entdeckt.

    Völlig illusionär ist es daher wohl, anzunehmen, so etwas könne durch die Pseudoversion einer verdeckten Offenlegung von Quellcode vor eine kleine staatliche Prüfertruppe ersetzt werden.
    Wenn diese Aufgaben dann mangels Resourcen und Kompetenz wieder outgesourced werden müssen, kann man das ganze Procedere ohnehin gleich verwerfen.

    Man sollte auch nicht vergessen, dass zwischen Quellcode und kompilierten Blobs, bzw. dem letztlichen erwarteten Verhalten des Gesamtsystems zu unterscheiden ist, welche sich fundamental von ersterem unterscheiden können:

    - weil das Kompilat vom Hersteller selbst aus manipuliertem Quellcode erzeugt wurde
    - weil das Kompilat dem Quellcode entspricht, dieser sich aber den Prüfern nicht erschließt
    - weil das Kompilat bei der Prüfung dort mit manipuliertem Quellcode erstellt wird
    - weil das Kompilat mittels manipuliertem Compiler erzeugt wurde
    - weil das Kompilat mittels Compiler auf einem manipulierten System erzeugt wurde
    - weil das Kompilat mittels manipuliertem Flasher durch eine manipulierte Version ersetzt wird
    - weil das Kompilat im Nachgang von einem Agenten manipuliert wird
    - weil das Kompilat im laufenden Betrieb per OOB vom Hersteller manipuliert wird
    - weil das Kompilat in (geheimen) Betriebsmodi von der Hardware umgangen / erweitert wird
    ... usw.

    Eine Offenlegung der Hardwareschaltpläne würde auch - wenn überhaupt - nur bei penibler Überprüfung durch eine große Anzahl erfahrener Spezialisten etwas bringen (enorme Komplexität und viele-Augen-Prinzip) und viel Geld und noch mehr Zeit benötigen.

    Auch müsste eine exakte Umsetzung der Schaltpläne in Hardware durch enorm aufwendiges Reverse-Engineering überprüft werden.

    Schlussendlich sind manche Manipulationen auf Chipebene dermaßen subtil, dass ihr Nachweis mit wirtschaftlich vertretbaren Mitteln im Grunde gar nicht machbar ist, etwa die Schwächung von Hardwareverschlüsselungsroutinen durch gezielte Dotierungsverunreinigungen bei der Herstellung.

    s. auch:
    https://securinghardware.com/articles/do-i-have-a-hardware-implant/

  2. Danke für die gute Zusammenfassung (KwT)

    Autor: Kondratieff 08.02.19 - 09:34

    KwT

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. ista International GmbH, Essen
  2. Vodafone GmbH, München
  3. LOTTO Hessen GmbH, Wiesbaden
  4. Haufe Group, Sankt Gallen (Schweiz) / Deutschland (Home-Office)

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. 4K-Filme im Steelbook und Amiibo-Figuren)
  2. ab 99,00€
  3. GRATIS
  4. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Chromium: Der neue Edge-Browser könnte auch Chrome besser machen
Chromium
Der neue Edge-Browser könnte auch Chrome besser machen

Build 2019 Wie sieht die Zukunft des Edge-Browsers aus und was will Microsoft zum Chromium-Projekt beitragen? Im Gespräch mit Golem.de gibt das Unternehmen die vage Aussicht auf einen Release für Linux und Verbesserungen in Google Chrome. Bis dahin steht viel Arbeit an.
Von Oliver Nickel

  1. Insiderprogramm Microsoft bietet Vorversionen von Edge für den Mac an
  2. Browser Edge auf Chromium-Basis wird Netflix in 4K unterstützen
  3. Browser Microsoft lässt nur Facebook auf Flash-Whitelist in Edge

Motorola One Vision im Hands on: Smartphone mit 48-Megapixel-Kamera für 300 Euro
Motorola One Vision im Hands on
Smartphone mit 48-Megapixel-Kamera für 300 Euro

Motorola bringt ein weiteres Android-One-Smartphone auf den Markt. Die Neuvorstellung verwendet viel Samsung-Technik und hat ein sehr schmales Display. Die technischen Daten sind für diese Preisklasse vielversprechend.
Ein Hands on von Ingo Pakalski

  1. Moto G7 Power Lenovos neues Motorola-Smartphone hat einen großen Akku
  2. Smartphones Lenovo leakt neue Moto-G7-Serie

Recycling: Die Plastikfischer
Recycling
Die Plastikfischer

Millionen Tonnen Kunststoff landen jedes Jahr im Meer. Müllschlucker, die das Material einsammeln, sind bislang wenig erfolgreich. Eine schwimmende Recycling-Fabrik, die die wichtigsten Häfen anläuft, könnte helfen, das Problem zu lösen.
Ein Bericht von Daniel Hautmann

  1. Elektroautos Audi verbündet sich mit Partner für Akkurecycling
  2. Urban Mining Wie aus alten Platinen wieder Kupfer wird

  1. Apple: Update auf iOS 12.3.1 behebt Probleme mit VoLTE
    Apple
    Update auf iOS 12.3.1 behebt Probleme mit VoLTE

    Apple hat ohne öffentlichen Betatest ein Update für iOS veröffentlicht. Es löst mehrere Probleme, darunter einen ärgerlichen Bug mit Voice over LTE und zwei Fehler in der Nachrichten-App.

  2. Project Xcloud: Microsoft streamt Spiele mit Xbox-Blades
    Project Xcloud
    Microsoft streamt Spiele mit Xbox-Blades

    Entwickler müssen nichts am Code von Xbox-Spielen ändern, um sie auf den Servern von Microsoft zu streamen. Das hat Kareem Choudhry von Microsoft gesagt - und gleichzeitig eine neue API vorgestellt.

  3. Mobilfunk: Verbände fordern lokales Roaming
    Mobilfunk
    Verbände fordern lokales Roaming

    Schnelles Internet auf dem Land: Wie kann dieses Ziel erreicht werden? Noch immer gibt es Vorsorgungslücken. Ein lokales Roaming ist in der Koalition umstritten, nun erheben mehrere Verbände Forderungen.


  1. 12:11

  2. 11:40

  3. 11:11

  4. 17:50

  5. 17:30

  6. 17:09

  7. 16:50

  8. 16:33