1. Foren
  2. Kommentare
  3. Internet
  4. Alle Kommentare zum Artikel
  5. › IMHO: Sichert Firmware endlich…

Ich will auch die Lottozahlen für nächste Woche

  1. Beitrag
  1. Thema

Ich will auch die Lottozahlen für nächste Woche

Autor: derdiedas 23.01.15 - 13:17

schön das Ihr sichere Firmware wollt, aber gleichzeitig soll das Geraffel bezahlbar bleiben. Und beides zusammen geht schlichtweg nicht.

Wenn der Netzwerkfähige Drucker weniger als 100 Euro, die WLAN Cam 50 und das Notebook 500, das Mainboard 120 Euro usw. kosten soll ist eine allumfassend sichere Firmware einfach nicht drin.

Sichere Softwarentwicklung bedeutet das die QA mindestens genauso groß ist wie die Entwicklungsabteilung. Und das sie genauso lange Zeit hat die Produkte zu testen wie die Entwickler zeit hatten Sie zu entwickeln.

Das bedeutet das nur die Firmware und der Treiber des Druckers weit mehr kosten als die Hardware. Und das lässt sich nun mal nicht verkaufen.

Was aber machbar ist, ist das jedes Gerät seine Firmware und Konfiguration nur ändern lässt wenn man einen Schalter umlegt. Dieser Schalter kostet nur ein paar cent und lässt sich an jedem Device anbringen. Und einen WP (WriteProtect) pin haben die meisten EEPROMS. Ist der auf high - ist eine Manipulation nicht möglich.

Und wenn man remote ändern muss, sorgt halt eine dedizierte sichere Kommunikation dafür das der WP Switch sicher gesetzt werden kann.

Das lässt sich einfach umsetzen (Habe ich für meinen Drucker gemacht - aber nicht um die Konfiguration zu schützen sondern den Drucker das Seitenzählen abzugewöhnen) Aber eine Konfigänderung per Webpage geht nun auch nicht mehr.

Sichere Firmware wird es nie geben, aber zumindest einen Schutz gegen unerlaubte Modifikation wäre recht einfach machbar.

Die meisten Drucker etwa kann man gegen Manipulation schützen wenn man den WP Pin des eeprom einfach auf high setzt. (Einige zicken dann aber rum weil sie die Pagecount nicht speichern können, was Sie mit einem quittieren des Dienstes oder wie bei mir mit dauert der start des Druckers erheblich länger)

Es ist eine Utopie an eine IT Welt zu glauben in der jede Zeile Code inherent sicher ist. Das wird einfach nie funktionieren. Aber was man machen kann ist das man die Angriffsfläche der Komponenten durch vernünftiges Netzwerkdesign und Produktdesign soweit minimiert das man damit leben kann.

Die Drucker etwa brauchen im Netzwerk nur Ihren Port 9100 und jede andere Kommunikation sollte den Druckern verboten werden. Grund es gab schon hacks die den Drucker angewiesen haben alle ausdrucke per smtp aus der Firma raus zu senden.

Und wann konfiguriert man schon einen Drucker um, das passiert alle jubeljahre mal.


Neues Thema Ansicht wechseln


Thema
 

Ich will auch die Lottozahlen für nächste Woche

derdiedas | 23.01.15 - 13:17
 

Re: Ich will auch die Lottozahlen für...

Moe479 | 24.01.15 - 07:27

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Assistenz (m/w/d) für Standortleitung
    KWA Stift Rottal, Bad Griesbach
  2. Technischer Produktmanager (m/w/d) Digitale Plattform - Analytics
    Loh Services GmbH & Co. KG, Langenfeld (Rheinland)
  3. Fachexpertin / Fachexperte im Bereich Gebäude und Wohnungen (w/m/d)
    Statistisches Bundesamt, Wiesbaden
  4. IT-Systemadministrator (m/w/d)
    Hays AG, Augsburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a.Risk of Rain 2 für 7,99€, Dead by Daylight für 4,99€, Tribes of Midgard für 13,49€)
  2. (u. a. Sandisk Ultra 3D 2 TB SSD für 179,00€, Roccat Elo 7.1 Air Headset für 67,00€, Nintendo...
  3. (u. a. Drehschlagschrauber für 125,99€, Schlagbohrmaschine für 130,99€, Winkelschleifer für...


Haben wir etwas übersehen?

E-Mail an news@golem.de


Burnout in der IT: Es ging einfach nichts mehr
Burnout in der IT
"Es ging einfach nichts mehr"

Geht es um die psychische Gesundheit ihrer Mitarbeiter, appellieren Firmen oft an deren Eigenverantwortung. Doch vor allem in der Pandemie reicht das nicht.
Von Pauline Schinkel


    Hochwasser: Digitale Sicherheit gibt es erst nach Hunderten Toten
    Hochwasser
    Digitale Sicherheit gibt es erst nach Hunderten Toten

    Die Diskussion um Cell Broadcast zeigt: Digitale Sicherheit gibt es erst nach Katastrophen. Das ist beängstigend, auch wenn man an kritische Infrastruktur wie das Stromnetz oder die Wasserversorgung denkt.
    Ein IMHO von Sebastian Grüner

    1. Cell Broadcast Seehofer sieht keine Widerstände mehr gegen Warnung per SMS
    2. Unwetterkatastrophe Einige Orte in Rheinland-Pfalz weiter ohne Mobilfunk
    3. Katastrophenschutz Cell Broadcast soll im Sommer 2022 einsatzbereit sein

    Powervision Powerray im Test: Diese Drohne geht unter
    Powervision Powerray im Test
    Diese Drohne geht unter

    Ein ferngesteuertes U-Boot mit 4K-Kamera ist nicht mit einem Quadcopter vergleichbar, wie wir in unserem Test festgestellt haben.
    Ein Test von Martin Wolf

    1. Spanien Polizei beschlagnahmt Drogen-Drohne mit 150 kg Zuladung
    2. Luftfahrt Der Hamburger Hafen wird zum Reallabor für Drohnen
    3. LTE Parrot Anafi Ai ist eine Drohne mit Open-Source-App

    1. Youtube: Selbstgebauter 3D-Drucker arbeitet kopfüber
      Youtube
      Selbstgebauter 3D-Drucker arbeitet kopfüber

      Ein Youtuber baut einen ungewöhnlichen 3D-Drucker. Der Positron druckt auf dem Kopf stehend. Das macht ihn kompakt, so dass er in eine Tasche passt.

    2. Spielebranche: Führungswechsel bei Blizzard
      Spielebranche
      Führungswechsel bei Blizzard

      Bei Blizzard gibt es einen Wechsel an der Spitze: Jen Oneal und Mike Ybarra lösen den bisherigen Firmenchef J. Allen Brack ab.

    3. Ryzen 7 5700G im Test: AMDs 5700X-Ersatz ist unser Gaming-Liebling
      Ryzen 7 5700G im Test
      AMDs 5700X-Ersatz ist unser Gaming-Liebling

      Acht Zen-3-Kerne, integrierte Vega-Grafik, niedriger Preis: Der Ryzen 7 5700G macht zwar vieles richtig, hat aber gewisse I/O-Nachteile.


    1. 15:33

    2. 15:18

    3. 15:00

    4. 14:45

    5. 14:28

    6. 13:44

    7. 13:29

    8. 13:14