Abo
  1. Foren
  2. Kommentare
  3. Wirtschaft
  4. Alle Kommentare zum Artikel
  5. › Geheimtreffen: Telekom will Partner…

"Offenlegung" von Quellcode und Wege der Manipulation

  1. Thema

Neues Thema Ansicht wechseln


  1. "Offenlegung" von Quellcode und Wege der Manipulation

    Autor: cpt.dirk 02.02.19 - 17:09

    Von einer "Offenlegung" im Sinne von "quelloffen" kann hier wohl keine Rede sein.

    Sich von der Vorlage eines wie auch immer gearteten, evtl. völlig undokumentierten Quellcodes, in Teilen oder im Ganzen, vor ein kleines Team von staatlichen Prüfern einen nennenswerten Sicherheitsgewinn zu erhoffen, ist wohl reine Selbsttäuschung, bzw. Illusion.

    In ein komplexes System, welches von großen, hochspezialisierten Teams in monate- oder jahrelanger Arbeit entwickelt wurde - auch bei einigermaßen guter Dokumentation - in einer hinreichend kurzen Zeit und hinreichend weit gedanklich vorzudringen, dazu bedarf es erheblicher personeller Resourcen und fachlicher Kompetenz, die so mutmaße ich, die Möglichkeiten einer kleinen staatlichen Behördenabteilung bei weitem übersteigt.

    Hinzu kommt noch die Anforderung, Fälle mit abzuschätzen, die nicht unmittelbar aus untersuchter Dokumentation, dem Code und der Hardware abgeleitet werden können, Bugs, Sollbruchstellen und mögliche Seitenkanalangriffe. Solche werden, selbst bei Open-Source, oft erst durch die kontinuierliche Audition von vielen verschiedenen Teams und Individuen (insgesamt tausende) und manchmal erst nach Jahren entdeckt.

    Völlig illusionär ist es daher wohl, anzunehmen, so etwas könne durch die Pseudoversion einer verdeckten Offenlegung von Quellcode vor eine kleine staatliche Prüfertruppe ersetzt werden.
    Wenn diese Aufgaben dann mangels Resourcen und Kompetenz wieder outgesourced werden müssen, kann man das ganze Procedere ohnehin gleich verwerfen.

    Man sollte auch nicht vergessen, dass zwischen Quellcode und kompilierten Blobs, bzw. dem letztlichen erwarteten Verhalten des Gesamtsystems zu unterscheiden ist, welche sich fundamental von ersterem unterscheiden können:

    - weil das Kompilat vom Hersteller selbst aus manipuliertem Quellcode erzeugt wurde
    - weil das Kompilat dem Quellcode entspricht, dieser sich aber den Prüfern nicht erschließt
    - weil das Kompilat bei der Prüfung dort mit manipuliertem Quellcode erstellt wird
    - weil das Kompilat mittels manipuliertem Compiler erzeugt wurde
    - weil das Kompilat mittels Compiler auf einem manipulierten System erzeugt wurde
    - weil das Kompilat mittels manipuliertem Flasher durch eine manipulierte Version ersetzt wird
    - weil das Kompilat im Nachgang von einem Agenten manipuliert wird
    - weil das Kompilat im laufenden Betrieb per OOB vom Hersteller manipuliert wird
    - weil das Kompilat in (geheimen) Betriebsmodi von der Hardware umgangen / erweitert wird
    ... usw.

    Eine Offenlegung der Hardwareschaltpläne würde auch - wenn überhaupt - nur bei penibler Überprüfung durch eine große Anzahl erfahrener Spezialisten etwas bringen (enorme Komplexität und viele-Augen-Prinzip) und viel Geld und noch mehr Zeit benötigen.

    Auch müsste eine exakte Umsetzung der Schaltpläne in Hardware durch enorm aufwendiges Reverse-Engineering überprüft werden.

    Schlussendlich sind manche Manipulationen auf Chipebene dermaßen subtil, dass ihr Nachweis mit wirtschaftlich vertretbaren Mitteln im Grunde gar nicht machbar ist, etwa die Schwächung von Hardwareverschlüsselungsroutinen durch gezielte Dotierungsverunreinigungen bei der Herstellung.

    s. auch:
    https://securinghardware.com/articles/do-i-have-a-hardware-implant/

  2. Danke für die gute Zusammenfassung (KwT)

    Autor: Kondratieff 08.02.19 - 09:34

    KwT

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, bundesweit
  2. SEG Automotive Germany GmbH, Stuttgart
  3. LOTTO Hessen GmbH, Wiesbaden
  4. BG-Phoenics GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. 20% auf ausgewählte Monitore)
  2. (u. a. Sennheiser HD 4.50R für 99€)
  3. (u. a. GRID - Day One Edition (2019) für 27,99€ und Hunt Showdown für 26,99€)
  4. (aktuell u. a. Corsair GLAIVE RGB als neuwertiger Outlet-Artikel für 32,99€ + Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de


WLAN-Kameras ausgeknipst: Wer hat die Winkekatze geklaut?
WLAN-Kameras ausgeknipst
Wer hat die Winkekatze geklaut?

Weg ist die Winkekatze - und keine unserer vier Überwachungskameras hat den Dieb gesehen. Denn WLAN-Cams von Abus, Nest, Yi Technology und Arlo lassen sich ganz einfach ausschalten.
Von Moritz Tremmel

  1. Wi-Fi 6 Router und Clients für den neuen WLAN-Standard
  2. Wi-Fi 6 und 802.11ax Was bringt der neue WLAN-Standard?
  3. Brandenburg Vodafone errichtet 1.200 kostenlose WLAN-Hotspots

Rohstoffe: Lithium aus dem heißen Untergrund
Rohstoffe
Lithium aus dem heißen Untergrund

Liefern Geothermiekraftwerke in Südwestdeutschland bald nicht nur Strom und Wärme, sondern auch einen wichtigen Rohstoff für die Akkus von Smartphones, Tablets und Elektroautos? Das Thermalwasser hat einen so hohen Gehalt an Lithium, dass sich ein Abbau lohnen könnte. Doch es gibt auch Gegner.
Ein Bericht von Werner Pluta

  1. Wasserkraft Strom aus dem Strom
  2. Energie Wie Mikroben Methan mit Windstrom produzieren
  3. Erneuerbare Energien Die Energiewende braucht Wasserstoff

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

  1. Wing Aviation: Kommerzielle Warenlieferung per Drohne in USA gestartet
    Wing Aviation
    Kommerzielle Warenlieferung per Drohne in USA gestartet

    In den USA hat das zu Alphabet gehörende Unternehmen Wing Aviation die ersten Bestellungen per Drohne an Kunden ausgeliefert - unter anderem Schnupfenmittelchen.

  2. Office und Windows: Microsoft klagt gegen Software-Billiganbieter Lizengo
    Office und Windows
    Microsoft klagt gegen Software-Billiganbieter Lizengo

    Auffallend günstige Keys für Office 365 und Windows 10 bei Anbietern wie Edeka sind möglicherweise nicht legal. Nun geht Microsoft gegen Lizengo vor, einen der größten Anbieter solcher Software.

  3. Mark Hurd: Co-Chef von Software-Konzern Oracle gestorben
    Mark Hurd
    Co-Chef von Software-Konzern Oracle gestorben

    Mark Hurd war als Chef von NCR, Hewlett-Packard und zuletzt Oracle einer der einflussreichsten Manager der Computerbranche. Nun ist er im Alter von 62 Jahren an einer Krankheit verstorben.


  1. 13:45

  2. 12:49

  3. 11:35

  4. 18:18

  5. 18:00

  6. 17:26

  7. 17:07

  8. 16:42