Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
Autor |
Nachricht |
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1852158) Verfasst am: 13.07.2013, 21:43 Titel: Neue Geschäftsmodelle & Responsible Disclosure |
|
|
Wenn Geheimdienste und Kriminelle verzweifelt nach Zero-Day-Exploit suchen und dafür auch sehr gut zahlen wäre es doch für Softwarehersteller ein Anreiz, bewusst löchrige Software zu produzieren. Diese Firmen wären dann NSA Liebling und werden als Gegenleistung staatlich protegiert. Zum Beispiel bei staatlichen Aufträgen, natürlich hier ohne offensichtliche Sicherheitslücken zu verteilen. Es sei den, Big Brother will auch staatliche Stellen angemessen überwachen. Vertrauen ist gut, Kontrolle durch Big Brother ist besser.
Wozu sollen Security Experten Sicherheitslöcher an Hersteller vorab melden (Responsible Disclosure), wenn diese umgehend an Geheimdienste weiter gereicht werden und diese Firmen erst nach Wochen/Monaten anfangen, die Löcher zu stopfen? Eventuell gibt es staatliche Prämien, besonders effektive Sicherheitslücken möglichst lange geheim und offen zu lassen. Alles nur Verschwörungstheorien?
Und wozu überhaupt nach Zero-Day-Exploit suchen? Es gibt doch theoretisch mit der Windows Update Funktion die universelle Möglichkeit, Windows Systeme für interessierte Parteien jederzeit remote mit einer individuellen Backdoor zu versehen und diese nach Gebrauch wieder forensisch clean zu entfernen. Dazu benötigt man nur Zertifikate und Keys vom Hersteller, die vom Windows Betriebssystem als vertrauenswürdig angesehen werden. Alles andere geht individuell im Hintergrund mit einem gefakten untergeschobenen Updateserver oder gar mit originalen Updateservern, auf denen man als "Bedarfsträger" jederzeit Zugang hat.
Gegen solche Szenarien hilft im Grunde NUR Linux. Auch hier können Backdoors auftreten, Online Update Funktionen missbraucht werden, Server & Keys kompromittiert werden. Aber all das kann im Gegensatz zu Windows, MacOS & Co von der Community erkannt werden. Das man Windows als Desktop System der Bequemlichkeit/Usability wegen Linux vorzieht, dafür habe ich Verständnis. Wer aber freiwillig Windows Server in kritischen Infrastrukturen einsetzt, nur weil er aus Kostengründen gerne billige Klicki Bunti Amateur Admins einsetzen will, dem ist als Organisation oder Unternehmen nicht zu helfen.
Ein potentielles Spionageprogramm hat die Öffentlichkeit aber noch nicht im Blickfeld, die Antivirenprogramme. Wenn einer ungehinderten Zugang zu allen Dateien auf dem PC mit auffällig regelmäßiger Außenkommunikation hat, dann diese. Wäre ich NSA Chef, ich würde bei marktbeherrschenden Antiviren Unternehmen einsteigen.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1854284) Verfasst am: 26.07.2013, 20:22 Titel: BSI vom "Schlüsselpartner" zum Schlüsseldienst |
|
|
Die deutschen Helfer der US-Spione
SZ hat folgendes geschrieben: |
IT-Unternehmen geben den BSI-Experten dabei Einblick ins Innerste ihrer Produkte, in die Baupläne, in die Programmcodes. Sicherheitslücken sollen aufgedeckt werden. Wer am Ende ein BSI-Zertifikat erhält, hat ein sicheres Produkt - so wird es zumindest suggeriert.
Sogar die sichersten Produkte haben jedoch ihre Schwachstellen, und einer kennt sie: der Analyst des BSI. Wenn aber das BSI sein Wissen mit den Amerikanern teilt, weiß auch die NSA, wie man die Sicherheitsschranken umgeht. Der "Schlüsselpartner" BSI würde zum Schlüsseldienst. |
Die Dementis des BSI sind genau so Glaubwürdig wie die Beteuerungen der Bundesregierung, nichts von "Prism" gewusst zu haben.
|
|
Nach oben |
|
|
Ayers registrierter User
Anmeldungsdatum: 29.06.2013 Beiträge: 361
Wohnort: im Westen
|
(#1854320) Verfasst am: 27.07.2013, 00:41 Titel: Re: Neue Geschäftsmodelle & Responsible Disclosure |
|
|
Frank hat folgendes geschrieben: |
Ein potentielles Spionageprogramm hat die Öffentlichkeit aber noch nicht im Blickfeld, die Antivirenprogramme. Wenn einer ungehinderten Zugang zu allen Dateien auf dem PC mit auffällig regelmäßiger Außenkommunikation hat, dann diese. Wäre ich NSA Chef, ich würde bei marktbeherrschenden Antiviren Unternehmen einsteigen. |
Wie praktisch, daß deren Geschäftsgrundlage gleichzeitig auch permanente Virenbedrohung ist. Wenn der Feind erledigt würde, wären die pleite.
ayers
_________________ Besser ein echter Feind, als zehn falsche Freunde
|
|
Nach oben |
|
|
Casual3rdparty dauerhaft gesperrt
Anmeldungsdatum: 21.07.2012 Beiträge: 6255
|
(#1854489) Verfasst am: 28.07.2013, 01:10 Titel: Re: Neue Geschäftsmodelle & Responsible Disclosure |
|
|
Ayers hat folgendes geschrieben: | Wenn der Feind erledigt würde, wären die pleite.
ayers | dafür gibts doch ausreichend falsch positiv scanner treffer von 30-60% mit dem dringenden panikmachenden hinweis auf das kostenpflichtige upgrade ...
und die meisten computerzeitungen machen da groß mit...
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1860225) Verfasst am: 22.08.2013, 03:39 Titel: |
|
|
Zero-Day-Lücke im Adobe Reader
Heise hat folgendes geschrieben: |
Details zur Lücke will Babin .... erst am 11. September veröffentlichen.
|
Warum wohl. Nur um Adobe Zeit zu geben das Problem zu fixen? Naive Zeitgenossen würden sich mit so einer treuherzigen Interpretation zufrieden geben. Wer anderes vermutet hängt natürlich "Verschwörungstheorien" nach.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1864722) Verfasst am: 06.09.2013, 12:23 Titel: |
|
|
Großangriff auf Verschlüsselung im Internet
Zitat: |
Und die NSA schleust ... ganz gezielt Hintertüren vor allem in kommerzielle Crypto-Hard- und -Software ein. Die sehen dann häufig aus wie versehentliche Sicherheitslücken ... Dies geschieht zumeist in Zusammenarbeit mit den Herstellern |
Wer so etwas im letzten Jahr behauptet hätte, wäre als "Verschwörungstheoretiker" diffamiert worden. Das Problem sind hier nicht primär die Geheimdienste oder die Politiker, sondern das Schweigen der IT-Lämmer. Was nützen offene Berichterstattung und freie Presse, wenn es den Leuten scheiß egal ist oder diese Denken, dagegen kann man sowieso nichts tun. Man denke nur, es wird in Deutschland wieder gefoltert, Menschen verschwinden spurlos in KZ ähnlichen Lagern, die Presse berichtet darüber, aber der Bevölkerung ist es egal. Dagegen kann man, wie der gemeine Mann im Volk weis, sowieso nichts tun und überhaupt, es betrifft ja keine "anständigen" Menschen.
|
|
Nach oben |
|
|
Frank registrierter User
Anmeldungsdatum: 31.07.2003 Beiträge: 6643
|
(#1957612) Verfasst am: 15.10.2014, 13:51 Titel: Re: Neue Geschäftsmodelle & Responsible Disclosure |
|
|
Frank hat folgendes geschrieben: | Wozu sollen Security Experten Sicherheitslöcher an Hersteller vorab melden (Responsible Disclosure), wenn diese umgehend an Geheimdienste weiter gereicht werden und diese Firmen erst nach Wochen/Monaten anfangen, die Löcher zu stopfen? Eventuell gibt es staatliche Prämien, besonders effektive Sicherheitslücken möglichst lange geheim und offen zu lassen. Alles nur Verschwörungstheorien? |
http://www.wired.com/2014/09/kevin-mitnick-selling-zero-day-exploits/
Zitat: |
Mitnick’s exploit exchange seems designed to cater particularly to high-end buyers. ... “We have some clients that give us a menu of what they’re looking for, like ‘We’re looking for an exploit in this version of Chrome,’” he says. “It’s like an Amazon wish list of exploits.” Mitnick is far from the only hacker to see an opportunity in the growing grey market for zero days.
|
|
|
Nach oben |
|
|
sehr gut dauerhaft gesperrt
Anmeldungsdatum: 05.08.2007 Beiträge: 14852
|
(#1957620) Verfasst am: 15.10.2014, 14:06 Titel: Re: Neue Geschäftsmodelle & Responsible Disclosure |
|
|
Frank hat folgendes geschrieben: | Frank hat folgendes geschrieben: | Wozu sollen Security Experten Sicherheitslöcher an Hersteller vorab melden (Responsible Disclosure), wenn diese umgehend an Geheimdienste weiter gereicht werden und diese Firmen erst nach Wochen/Monaten anfangen, die Löcher zu stopfen? Eventuell gibt es staatliche Prämien, besonders effektive Sicherheitslücken möglichst lange geheim und offen zu lassen. Alles nur Verschwörungstheorien? |
http://www.wired.com/2014/09/kevin-mitnick-selling-zero-day-exploits/
Zitat: |
Mitnick’s exploit exchange seems designed to cater particularly to high-end buyers. ... “We have some clients that give us a menu of what they’re looking for, like ‘We’re looking for an exploit in this version of Chrome,’” he says. “It’s like an Amazon wish list of exploits.” Mitnick is far from the only hacker to see an opportunity in the growing grey market for zero days.
| |
Hatte ich vor 3 Wochen auch schon in der deutschen Presse gelesen: http://www.stern.de/digital/online/kevin-mitnick-beruehmtester-hacker-der-welt-verkauft-sein-wissen-2140868.html
Das Sicherheitslücken in Software immer weniger den Entwicklern gemeldet werden und sie stattdessen gegen viel Geld an dubiose Käufer weitergegeben werden das ist eine neue Ebene die bisherige Sicherheitskonzepte umgehen kann.
|
|
Nach oben |
|
|
|