1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücken: Wo kommen die…

Routerzwang

  1. Thema

Neues Thema Ansicht wechseln


  1. Routerzwang

    Autor: HansHorstensen 04.03.14 - 17:06

    Ich halte Routerzwang für grob fahrlässig. Wenn ich als Kunde eines ISP nicht über die Möglichkeit verfüge, mir die Hardware, mit welcher ich mich ins Internet einwähle, selbst auszusuchen, dann ist es im Grunde genommen doch sch****egal, ob mein internes Netzwerk von der NSA, dem BKA, MAD oder anderen Kriminellen kompromittiert wird. Oder steckt dahinter etwa ein Geschäftsmodell? Es kann doch nicht wahr sein, dass ich sowohl vor als auch hinter einen Alice Router weitere Hardware klemmen muss, um die Wahrscheinlichkeit, dass weitere Personen Zugriff auf mein internes Netzwerk erlangen, zu verringern! Anbieter solcher Geräte sollten nicht nur für entstandenen Schaden haften, sondern endlich gesetzlich davon abgehalten werden, ihre Kunden zum Einsatz bestimmter Produkte zu zwingen! Zum Thema Quellcode: klar kann zwischen tausenden von Zeilen nicht jeder Bug sofort entdeckt werden, aber viel wahrscheinlicher ist es, dass Bugs in nicht quelloffenen Routern von finanziell entsprechend ausgestatteten Anstalten (wie beispielsweise der NSA) eher gefunden und jahrelang unentdeckt ausgenutzt werden. Und dann geht das Pseudogejammer unserer Politiker wieder los: "Expertenmangel in Deutschland"... Tja, ein professioneller Reverse Engineer arbeitet nunmal nicht für zwei-euro-fuffzig die Stunde. Dann doch lieber in Kauf nehmen, dass die komplette deutsche IT Infrastruktur kompromittiert ist. Ein Theaterspiel ist das ganze, ich kann's nicht mehr hören...



    1 mal bearbeitet, zuletzt am 04.03.14 17:06 durch HansHorstensen.

  2. Re: Routerzwang

    Autor: HackNic 04.03.14 - 17:31

    Ich glaub, mehr muss man nicht sagen - es bringt die Sache auf den Punkt.
    Danke @HansHorstensen!

  3. Re: Routerzwang

    Autor: xMarwyc 04.03.14 - 17:35

    Routerzwang ist wie nen Führerschein bekommen und man darf nur die Autos fahren die der Fahrlehrer dir aufschwatzt und alle sind ne Katastrophe im Crashtest.



    1 mal bearbeitet, zuletzt am 04.03.14 17:42 durch xMarwyc.

  4. Re: Routerzwang

    Autor: Moe479 04.03.14 - 17:54

    die 'bugs' werden nicht nur gefunden, ich bin überzeugt die werden zum größtem teil als auftragsfeatures reingesetzt, ich würde mir als hersteller das auch ordentlich vergüten lassen von den überwachungs pissern. damit zahlt wenigstens das volk für seine eigene inkompetenz bei der bestimmung seiner vertretung, auch die deutschen bürger sind selber schuld, auch sie wählen jedes mal den gleichen beschiss aus, hauptsache ist ja, dass der nett verpackt wird!



    1 mal bearbeitet, zuletzt am 04.03.14 17:58 durch Moe479.

  5. Re: Routerzwang

    Autor: HansHorstensen 04.03.14 - 18:11

    Moe479 schrieb:
    --------------------------------------------------------------------------------
    > die 'bugs' werden nicht nur gefunden, ich bin überzeugt die werden zum
    > größtem teil als auftragsfeatures reingesetzt, ich würde mir als hersteller
    > das auch ordentlich vergüten lassen von den überwachungs pissern. damit
    > zahlt wenigstens das volk für seine eigene inkompetenz bei der bestimmung
    > seiner vertretung, auch die deutschen bürger sind selber schuld, auch sie
    > wählen jedes mal den gleichen beschiss aus, hauptsache ist ja, dass der
    > nett verpackt wird!

    das mag schon sein, dass das der ein oder andere hersteller in auftrag gibt (read: mit finanziellen mitteln dazu 'überredet' wird). ich glaube aber eher, dass das hauptsächliche problem unterbezahlung seitens der arbeitgeber und die daraus resultierende unfähigkeit bzw. mangelnde bereitschaft der verbraucher/konsumenten ist, für ein wertiges produkt auch mehr geld auszugeben. und das zieht sich durch die komplette deutsche wirtschaft und betrifft wohl fast jede branche. alles muss billig sein. nur die politik nicht. die ist zwar nicht billig aber dafür korrupt ;)



    1 mal bearbeitet, zuletzt am 04.03.14 18:12 durch HansHorstensen.

  6. Re: Routerzwang

    Autor: tibrob 04.03.14 - 21:05

    Nicht jeder hat Lust darauf, 500+ ¤ für einen vermeintlich "sicheren" Router auszugeben. Nur weil andere Hersteller höherpreisiger "Profirouter" bisher bei Sicherheitslücken nicht in Erscheinung getreten sind, liegt wohl hauptsächlich daran, dass andere Router weit verbreiteter sind.

    Deine Jacke ist jetzt trocken!

  7. Re: Routerzwang

    Autor: HansHorstensen 04.03.14 - 22:49

    ich würde im leben nicht auf die idee kommen, auch nur annähernd 500¤ für einen router auszugeben. "vermeintlich sicher" trifft es nämlich ganz genau. auch produkte von juniper und allen voran cisco weisen nicht nur erhebliche sicherheitsmängel auf, sondern zeugen auch von einer ignoranz hinsichtlich security, die seinesgleichen sucht. nein halt, es gibt da ja noch die produkte asiatischer hersteller, wie huawei ;) die decken in ihren produkten sämtliche bug-klassen ab, die man sich - je nach perspektive - nur wünschen kann. aber eigentliches thema dieses threads ist ja routerzwang. wenns denn dann mal soweit ist, dass ich als kunde eines ISPs dazu gezwungen werde , einen router für 500¤ einsetzen zu müssen, dann, naja, gibt's wohl offiziell das zwei-klassen-internet oder man bekommt für seine gute arbeit endlich mal wieder das entsprechende gehalt. bis dahin geht der trend wohl weiter richtung günstig. und wenn er nicht gestorben ist, so wundert er sich noch in 10 jahren über zahlreiche memory corruptions in seiner aus asien stammenden hardware

  8. Re: Routerzwang

    Autor: tadela 05.03.14 - 01:05

    Du bringst es auf den Punkt! Genau gleicher Meinung :-)

  9. Re: Routerzwang

    Autor: User_x 05.03.14 - 01:20

    das Problem mit dem GÜNSTIG ist, dass Lücken auch in teureren Geräten aufgefunden werden, was wieder plausibel klingt, dass der Preis keine Garantie für Sicherheit ist. Hier kann man als Hersteller nur mit Offenheit und Schnelligkeit zur Behebung punkten.

    Routerzwang ist eine Sache. Die andere ist, dass der Kunde daran gehindert wird das zu tun, was er möchte. Bei O2 wird unter anderem das VPN oder fremde SIP's weggesperrt bzw. bestimmte Ports einfach nicht zugelassen) und das hindert den Kunden die Dienstleistung nach eigenen Bedürfnissen zu nutzen. Damit mischt sich der ISP in die Privatsphäre der Kunden ein und übernimmt eine autoritäre Diktatur.

  10. Re: Routerzwang

    Autor: HansHorstensen 05.03.14 - 11:11

    ja, sicherheitslücken finden sich sowohl in günstigen als auch teuren routern. und weshalb? weil, wie oben bereits von mir erwähnt, der hersteller eines produkts heutzutage so wenig wie möglich gehalt für einen möglichst fähigen angestellten (also in diesem fall firmware entwickler) ausgibt. es gibt also immer einen kompromiss. das macht ja kurzfristig gesehen wirtschaftlich auch erstmal sinn. aber spätestens wenns knallt und der hersteller die kompromittierung nicht mehr geheim halten kann, geht der schuss nach hinten los. also werden tausende von geldern in schadensbegrenzung gesteckt, anstatt von vornherein in sachen "sichere programmierung" zu investieren. hierzu zähle ich die bereitschaft, sich entsprechend erfahrene entwickler mehr kosten zu lassen und in schulungen zu investieren. denn ein frisch von der fachhochschule stammender entwickler mag zwar ein guter und sehr motivierter Java entwickler sein, doch Java und in C-quellcode vorliegende firmware sind nunmal zwei verschiedene paar stiefel. ich frage mich, wie lange es denn noch dauern soll, bis tatsächlich soetwas wie ein bewusstsein für it security in den köpfen rein profitorientierter entscheidungsträger verankert sein wird.
    um nochmal aufs thema routerzwang zurückzukommen: meine meinung ist, dass sich ein isp wesentlich invasiver in die privatsphäre einmischt, indem er vorschreibt, welche hardware zum einsatz kommen muss, aus den folgenden gründen. diese ist meist mit einer firmware bestückt, die nicht quelloffen ist. es geht mir hierbei nicht einmal darum, nicht über die möglichkeit zu verfügen, ein eigenes derivat kompilieren zu können, sondern um die tatsache, dass diese firmware voll von sicherheitslücken und/oder staatlichen trojanern sein könnte. ich behaupte hierbei nicht, dass ich dies für so und so wahrscheinlich halte, aber allein die möglichkeit, dies nicht überprüfen/widerlegen zu können geht mir gewaltig auf den sack. also gibt es für mich nur eine schlussfolgerung: die politik ist derart technologie-fern, dass sie sich nicht über das tatsächliche ausmaß dieses und themenverwandter probleme (es betrifft und BEEINFLUSST ja schon längst nicht mehr nur die IT, sondern die wirtschaft, die privatsphäre, usw. usw.) bewusst ist, oder aber, und das halte ich persönlich für entscheidend wahrscheinlicher, scheisst sie in dieser hinsicht auf das volk. warum? resignation? schadensbegrenzung? ohnmacht? angst? korruption? ich weiss es nicht, aber ich bewerbe mich nächste woche bei dsds und werde superstar. alles wird gut!

  11. Re: Routerzwang

    Autor: User_x 05.03.14 - 12:50

    mit horrenden löhnen wirst du aber keine sicherheit schaffen! du investierst ins personal mit schulungen und es wird mit der zeit aufmüpfig... und kaum ein falsches wort, bewirbt es sich mit kusshand weg!

    fehler wird es immer geben! es mag eher am termindruck liegen das fehler unentdeckt bleiben. aber 5 jahre entwicklungszeit oder ein "irgendwann" ist auch keine option. vergleichen sollte man es aber, indem man einen text schreibt und davon auch nach dem 100sten lesen überzeugt ist, bis man diesem einem anderen zeigst und der dann sagt, dass es müll ist.

  12. Re: Routerzwang

    Autor: HansHorstensen 05.03.14 - 13:22

    User_x schrieb:
    --------------------------------------------------------------------------------
    > mit horrenden löhnen wirst du aber keine sicherheit schaffen! du
    > investierst ins personal mit schulungen und es wird mit der zeit
    > aufmüpfig... und kaum ein falsches wort, bewirbt es sich mit kusshand weg!

    ich glaube nicht, dass steigender lohn/gehalt mit steigender sicherheit einhergeht. aber ich glaube und weiss sehr wohl, dass sogenannte "low hanging fruits" vermieden werden können, sobald man geld in sicherheitsaudits investiert. diese müssen nicht notwendigerweise vom eigenen personal durchgeführt werden. aber sinnvoll finde ich, je nach grösse des betriebs einen gewissen anteil an personal einzustellen, das tatsächlich ahnung von der materie hat. komischerweise scheint man ähnliche kompromisse in beispielsweise der finanzabteilung nicht einzugehen ;)

    >
    > fehler wird es immer geben! es mag eher am termindruck liegen das fehler
    > unentdeckt bleiben. aber 5 jahre entwicklungszeit oder ein "irgendwann" ist

    darüber bin ich mir bestens bewusst. und es wird auch weiterhin sicherheitslücken geben, deren ursachen seit über zwanzig jahren bekannt und vermeidbar sind, wenn man ahnungsloses personal mit sicherheitskritischen dingen betraut. aus genau diesem grund benutzen nämlich auch 18 jährige praktikanten den porsche ihres chef's für dienstfahrten! da kann genauso wenig passieren!

    > auch keine option. vergleichen sollte man es aber, indem man einen text
    > schreibt und davon auch nach dem 100sten lesen überzeugt ist, bis man
    > diesem einem anderen zeigst und der dann sagt, dass es müll ist.

    sorry, ich verstehe nicht, worauf du dich in diesem abschnitt beziehst bzw worauf du hinaus willst.



    1 mal bearbeitet, zuletzt am 05.03.14 13:23 durch HansHorstensen.

  13. Re: Routerzwang

    Autor: AngryPete 05.03.14 - 13:44

    Ich kann HansHorstensen nur Recht geben. Es interessiert die meisten gar nicht so richtig, was die Leute tatsächlich drauf haben. Hauptsache es läuft irgendwie und ist billig. In meiner Laufbahn bin ich bisher nur in einem Betrieb gewesen, wo tatsächlich kompetentes Personal sein Wissen an die Neulinge weitergegeben hat. Diese wussten nach paar Jahren mehr als so mancher, der mit Zertifikaten die Wand tapezieren könnte. In einem Unternehmen, wo die Zertifikate (übertrieben ausgedrückt) zum tapezieren verteilt wurden, bin ich auch gewesen. Aber welches Wissen soll man sich aneignen, wenn keine Praxiserfahrung gegeben wird, und dabei das Wissen eines Buchs, das dicker als die Bibel ist in drei Tagen zu lernen ist. Hinterher hat man ein Zertifikat, hat aber nach paar Wochen keine Ahnung mehr was in dem Kurs vorgekommen ist. Vor allem, wenn man in der Zwischenzeit schon wieder andere Dinge machen oder lernen musste. Richtig lernen heißt es etwas zeitgleich in der Praxis umzusetzen. Sonst vergisst man es nun mal unweigerlich. Dafür gibt es aber keine Zeit und schon gar kein Geld.
    Genauso hält es sich mit der Arbeitsmoral. Wenn ich sehe, dass ich für die Firma weniger Wert bin als der Drucker im Flur und es auch keine Chance gibt, dass sich das ändert, warum sollte ich dann meine Energie für sie investieren. Ich mache dann nur das Nötigste, damits läuft.
    Mehr und bessere Ausbildung und entsprechende Behandlung und Entlohnung des Mitarbeiters, und die Qualität der Arbeit, sowie Arbeitsmoral sieht anders aus. Aber wie gesagt, so was ist mir bisher nur einmal begegnet. Habe von Ähnlichem auch nicht im Bekanntenkreis gehört.

  14. Re: Routerzwang

    Autor: User_x 05.03.14 - 15:32

    > > auch keine option. vergleichen sollte man es aber, indem man einen text
    > > schreibt und davon auch nach dem 100sten lesen überzeugt ist, bis man
    > > diesem einem anderen zeigst und der dann sagt, dass es müll ist.
    >
    > sorry, ich verstehe nicht, worauf du dich in diesem abschnitt beziehst bzw
    > worauf du hinaus willst.

    bin zwar kein programmierer, will aber darauf hinaus, dass bestimmte fehler nicht erkannt werden - weil man bereits so oft selbst oder im team den gleichen quellcode geprüft hat - aber fehler einfach nicht entdeckt, da man einfach nicht darauf kommt. und da spielt die ausbildung oder der lohn keine rolle. oder wie war der spruch, man sieht den wald vor lauter bäumen nicht...

  15. Re: Routerzwang

    Autor: HansHorstensen 05.03.14 - 16:22

    das sehe ich anders. wenn sicherheitslücken nicht entdeckt werden würden, wären sie auch kein problem. ein 'programmierer' wird sicherheitslücken ohnehin nicht erkennen, weil es dazu schon entsprechend in der thematik 'sichere programmierung' geschulte programmierer benötigt, was erfahrungsgemäß leider die wenigsten sind. diejenigen, die diese sicherheitslücken dann doch aufdecken sind eben entsprechend ausgebildete entwickler, sicherheitsforscher, 'hacker' und staatlich finanzierte kriminelle.

    nachtrag: ich wiederhole mich, aber wir sprechen hier nicht von 100%iger sicherheit, denn die gibt es, wie du selbst schon festgestellt hast einfach nicht. es geht um das budget. es macht einen riesen unterschied, ob du ein augenpaar für eine woche auf den code eines produkts sehen lässt, oder tausende. und zwar so lange, bis entweder etwas gefunden wurde oder mit sehr sehr hoher wahrscheinlichkeit ausgeschlossen werden kann, dass sich im produkt eine sicherheitsrelevante, ausnutzbare lücke befindet. wer über letzteres budget und das entsprechend befähigte team verfügt kannst du dir vermutlich selbst vorstellen.



    2 mal bearbeitet, zuletzt am 05.03.14 16:41 durch HansHorstensen.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Netzwerkadministrator*in
    Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe, Ettlingen
  2. Softwareentwickler C#/C++ für Medizingeräte (m/w/d)
    STORZ MEDICAL Deutschland GmbH, Jena
  3. Senior IT-Systems Engineer und Project Manager (m/w/d)
    LEIFHEIT AG, Nassau an der Lahn
  4. Data Base Engineer (m/w/d)
    unimed Abrechnungsservice für Kliniken und Chefärzte GmbH, deutschlandweit (Home-Office)

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 569,99€
  2. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de