News Asus-Live-Update-Angriff: Asus hat Passwörter selbst auf GitHub veröffentlicht

Warum werden Passwoerter immer noch nicht so abgesichert, dass bei einem Klau der gespeicherten Daten keine Rueckschluesse auf das Originalpasswort machbar sind. Das ist doch der eigenltich viel groessere Fail. Bei ordentlichem Hashing und Salten sollte doch das versehentliche Veroeffentlichen gar kein Problem darstellen, oder?
 
Maviapril2 schrieb:
Warum werden Passwoerter immer noch nicht so abgesichert, dass bei einem Klau der gespeicherten Daten keine Rueckschluesse auf das Originalpasswort machbar sind. Das ist doch der eigenltich viel groessere Fail. Bei ordentlichem Hashing und Salten sollte doch das versehentliche Veroeffentlichen gar kein Problem darstellen, oder?
Man sagt zwar "Vermute nichts böses, wenn es sich auch schlicht mit Unwissenheit erklären lässt", aber mittlerweile frage ich mich ernsthaft, ob die erste Variante nicht die richtige ist. Ich arbeite im IT-Bereich und überall da wo ich ausgebildetes IT-Personal finde, trägt jeder den Sicherheitsgedanken in sich.
Die Alternative zu Bosheit/Dummheit wäre dann nur noch Gier, d.h. die Entwickler hatten keine Zeit dafür, bzw. wurde es als nicht notwendig erachtet und deshalb gestrichen. Gerade in asiatischen Ländern die sehr kapitalistisch agieren, könnte ich mir das gut vorstellen, da gibt es diese Gedanken über Privatsspähre und Datenmissbrauch auch nicht so stark wie hier.
 
@EdwinOdesseiron das ist doch aber kein rein asiatisches Problem. Erst neulich waren doch Passwoerter bei Facebook/Instagram betroffen, und regelmaessig werden auch bei westlichen Unternehmen Passwoerter geklaut
 
  • Gefällt mir
Reaktionen: Mcr-King
Wer kassiert eigentlich die Bußgelder wenn welche verhängt werden wie im Fall Uber? Das wäre doch für den (europäischen) Gesetzgeber mal ein nettes Nebeneinkommen. Oder können die nur wenn es gegen den user geht (Artikel 13) Entscheidungen treffen in Brüssel?
 
  • Gefällt mir
Reaktionen: DJServs, Mcr-King und areiland
fireeagle schrieb:
Ist das jetzt noch grob fahrlässig oder schon Vorsatz?
Da dürfte man als Unternehmen wahrscheinlich die Kosten für die Malwarebereinigung bei ASUS parken können.

Aber echt interessant was für unfähige Leute da arbeiten.

Und die Gutachter drehen es dann so, das du noch selber dran Schuld bist...
 
  • Gefällt mir
Reaktionen: Mcr-King
@Maviapril2
Da hast du in der Tat recht, nur sehe ich die Sicherheitsanforderungen bei Hardwareherstellern als höher an, als bei reinen Softwareprodukten, deshalb ärgert es mich hierbei umso mehr. Genauso wie bei Intel, die sich Leistung durch Verzicht auf Sicherheit erkaufen.
 
  • Gefällt mir
Reaktionen: Mcr-King und Maviapril2
na das wird ja lustig, wenn das autonome fahren kommt:D. bin mal gespannt wenn nen "spassvogel" dann solche PWs nutzt um diese verkehrsinfrastruktur lahmzulegen:D. und wenn nicht nur asus Mitarbeiter solche PWs veröffentlichen ist Daimler, BMW etc davor auch nicht gefeit^^
 
  • Gefällt mir
Reaktionen: Transistor 22, TierParkToni und vascos
resterudi schrieb:
... wenn selbst die gut geschulten Telekom Mitarbeiter im Unternehmen mit Malware verteilte USB Sticks im Firmenrechner testen ...

Schlimmer wird es, wenn die IT ein Tool rausgibt um die Malware auf den USB Sticks zu finden, diese das aber nicht kann!
Mein Anti-Viren Programm hatte schlimmeres verhindert, den anderen Firmenlaptop hatte es aber erwischt :(
 
fireeagle schrieb:
Ist das jetzt noch grob fahrlässig oder schon Vorsatz?
Da dürfte man als Unternehmen wahrscheinlich die Kosten für die Malwarebereinigung bei ASUS parken können.

Aber echt interessant was für unfähige Leute da arbeiten.
wird wohl nur grob fahrlässig sein, da sich ja die Firma damit rausredet, das es ein versehen war. wer will ihnen auch Absicht und somit vorsatz beweisen? ich könnte mir sogar vorstellen das sfinanzielle strafen von den unternehmen vom staat wieder eimgeheimst werden(abschreibung etc):D
 
Hauptproblem ist hier wohl schlechte Organisation und die Bequemlichkeit der Entwickler.

Es wundert mich schon sehr, das Mitarbeiter bei so einer Größe wie ASUS auf Github veröffentlichen. So was gehört in ein eigens gehostetes Repo. im Intranet des Unternehmens.
 
Gut, daß ich den Autoupdater nicht eingeschaltet habe.

Aber scheint ja mittlerweile zum guten Ton zu gehören.

Der Anwender soll immer sicherere Passwörter verwenden. Dabei würde es schon reichen, wenn die ganzen Firmen mal mit Unterstützung von wirklichen Fachleuten ihre Arbeit richtig machen.
 
Damit die die Sache doch strengenommen kein "Hackerangriff" mehr, oder?

Wenn ich den Schlüssel in der Wohnungstür stecken lasse, kann ich die Polizei zwar immer noch bitten, gegen Unbekannt wegen Diebstahl und Hausfriedensbruch zu ermitteln, aber mit "Einbruch" wirds eng, und die Versicherung wird mir was husten!
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: areiland
Wenn es - so wie im Artikel beschrieben - theoretisch auch möglich war, noch weiter in das Netzwerk von Asus einzudringen, dann ist ja auch ein Szenario mit kompromittierten BIOS Files denkbar. Ein Graus.
 
Holla die Waldfee.
Sowas muss doch Konsequenzen haben.
 
Vulpecula schrieb:
Wenn es - so wie im Artikel beschrieben - theoretisch auch möglich war, noch weiter in das Netzwerk von Asus einzudringen, dann ist ja auch ein Szenario mit kompromittierten BIOS Files denkbar. Ein Graus.

Muss man sich Gedanken machen, wenn ich kein Wake-On-Lan aktiviert habe und der PC aus ist, aber die gelb Netzwerk-LED trotzdem dauerhaft leuchtet und ab und zu blinkt?
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Affenzahn
Na klar kaufe ich nur ASUS-Produkte ein, wenn moeglich, es ist schliesslich das Unternehmen meines uneingeschraenkten Vertrauens :lol:.

Da stimmt wohl nicht nur mit der Qualitaetskontrolle des Live Update-Services etwas nicht bei ASUS, auch die "Qualitaetskontrolle" bzgl. der Leute, die dort eingestellt wurden, faellt jetzt eher als mangelhaft bis ungenuegend auf.

Na wenigstens erwischt es den Marktfuehrer, vielleicht balanciert sich der Markt aufgrund von zukuenftig daraus resultierendem, wechselnden Kaufverhalten (etwa hin zu MSI, Gigabyte, ASRock, Biostar und EVGA bei Mainboards und anderen Herstellern/Boardpartnern/Anbieter in anderen Produktkategorien wie Gaming-Monitoren, Grafikkarten, Laptops, usw.) wieder etwas aus, was aus Kundensicht durchaus zu begruessen waere.

Nun, 'mal schauen wie nachhaltig der Vertrauensverlust sein wird und wie sehr die Konkurrenz das ausnutzen wird koennen oder ob in 3 Wochen bspw. das alles wieder vergessen ist und ASUS-Hoechstpreisprodukte hier auf CB und anderweitig wieder maechtig ASUS gelobhudelt werden.

Die wenigsten werden da wohl konsequent bleiben und ASUS Produkte zukuenftig meiden, wenn es geht ... leider.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Deathless
Da ist man glatt froh beim letzten Kauf einen Bogen um Asus gemacht zu haben...

Und wenn es den Angreifern direkt SO leicht gemacht wurde, möchte ich gar nicht wissen was da noch alles im Argen ist. Traurig wenn man auf die Art und Weise von innen ge****t wird.
Die Erfahrung durften wir ja unlängst auch machen ;)
 
Zurück
Oben