ComputerBase Menü
Aktuelles

News Black Hat: „Internet-Sicherheit hat kritischen Punkt erreicht“

Sehr sehr wahre Aussagen. Insbesondere das Aufkaufen der Zero Day Lücken halte ich für interessant.

...profitieren von der ständig wachsenden Anzahl von Schwachstellen...
Zum Vergrößern anklicken....

Die Anzahl der Schwachstellen nimmt ja nicht wirklich zu, viel eher sind immer mehr Leute fähig, solche Lücken aufzuspüren und wissen diese zu Geld zu machen.
 
Kingfisher OK schrieb:
Sehr sehr wahre Aussagen. Insbesondere das Aufkaufen der Zero Day Lücken halte ich für interessant.

Die Anzahl der Schwachstellen nimmt ja nicht wirklich zu, viel eher sind immer mehr Leute fähig, solche Lücken aufzuspüren und wissen diese zu Geld zu machen.
Zum Vergrößern anklicken....

Och, das mit dem Ankaufen ist ja nicht so das problem. Mit dem Veröffentlichen tun sie sich halt schwer. ;)

Naja, wahrscheinlich beides. Denn auch die Menge an Software nimmt ja zu.
 
[...]Zudem will Geer die Qualität von Software verbessern, indem kommerzielle Anbieter für Schäden haften sollen, die aufgrund von Fehlern in ihren Produkten entstehen.[...]
Zum Vergrößern anklicken....

Entschuldigung, aber das ist Bullshit. Fehler passieren, die meisten können bei gewisser Komplexität nur bei Massenbenutzung entdeckt werden. Ich gebe dem Arzt, der mich bei meiner Geburt untersucht hat auch nicht die Schuld für jedes Wehwehchen oder ernstere Krankheiten, die ich im Laufe meines Lebens entwickel.

Das Aufkaufen (und Veröffentlichen!) ist utopisch. Regierungen sollten nicht mit Terroristen verhandeln, ebenso wenig sich abhängig machen von sowas. Völlig unabhängig davon, dass Lücken besonders von der US-Regierung aufgekauft und selbst benutzt oder von Experten selbst gefunden werden.

Der Rest klingt allerdings sehr vernünftig.
 
Zuletzt bearbeitet:
Entschuldigung, aber das ist Bullshit. Fehler passieren, die meisten können bei gewisser Komplexität nur bei Massenbenutzung entdeckt werden.
Zum Vergrößern anklicken....

ist in den meisten anderen Branchen aber so! Da wird bei grober Fahrlässigkeit gehaftet, nur wie üblich soll in der Virtuellen Welt das mal wieder nicht gelten.
 
mekunekud schrieb:
Regierungen sollten nicht mit Terroristen verhandeln, ebenso wenig sich abhängig machen von sowas.
.
Zum Vergrößern anklicken....
terroristen gibt es nicht, das nannte man früher staatsfeinde, und ist ein hausgemachtes problem vorallem seitens der us und a.
nur das sich mit dem wort terror vielmehr leute einspannen lassen bzw. viel mehr bei der masse rechtfertigen kann.
 
Luxuspur schrieb:
Da wird bei grober Fahrlässigkeit gehaftet, nur wie üblich soll in der Virtuellen Welt das mal wieder nicht gelten.
Zum Vergrößern anklicken....

Nur ist ein Bug keine grobe Fahrlässigkeit...

Kommt mal bitte auf dne Boden der Realität. mekunekud hat hier schon recht. Ein Unternehmen kann einfach nicht jedes Szenario durchspielen. Software ist heute so komplex, da sind Bugs einfach drin das ist so. Keiner baut absichtlich Bugs ein aber man schaue sich einfach mal so Projekte wie Joomla, Drupal, Django-CMS oder oder oder an da stecken mehrere tausend bis zehntausend Mannstunden drin.
 
Luxuspur schrieb:
ist in den meisten anderen Branchen aber so! Da wird bei grober Fahrlässigkeit gehaftet, nur wie üblich soll in der Virtuellen Welt das mal wieder nicht gelten.
Zum Vergrößern anklicken....

Das muss dann wohl ein Gericht klären. Dass der Autohersteller bei seinen bzw. meinen Bremsen nicht gerade fahrlässig sein sollte ist zunächst mal was anderes als wenn ein Programmierer schläft und in der Firewall hinterher ein Sicherheitsloch drin ist. Mag beides fahrlässig sein, aber die Tragweite ist ne ganz andere.
 
Warum ist die Tragweite eine andere? Sicherheitslücken sind eine Katastrophe und nichts anderes.
Das Leute diese runterspielen ist ein Unding. Cybermobbing alleine treibt ja menschen in die
Depression...da möchte ich gar nicht wissen, was für ein Schaden mit Daten anrichtbar ist,
der nicht mal selbst bereit gestellt wurde.

Aber hey....alles halb so wild....die gesamte Softwareindustrie kann mich mal, was das angeht.
Immer schnellere Deadlines, immer weniger Qualität und mehr Geld. Aber hier kommt demnächst
eh die ganz fette Klatsche von der Industrie, dann freue ich mich, wenn die ganzen SAP, MSFT und
Oracle etc. Leute ihre Kündigungen haben!
 
CD schrieb:
Das muss dann wohl ein Gericht klären. Dass der Autohersteller bei seinen bzw. meinen Bremsen nicht gerade fahrlässig sein sollte ist zunächst mal was anderes als wenn ein Programmierer schläft und in der Firewall hinterher ein Sicherheitsloch drin ist. Mag beides fahrlässig sein, aber die Tragweite ist ne ganz andere.
Zum Vergrößern anklicken....

genau du und menschen wie du sind das Problem, unter anderem natürlich....
will dich mal sehen, wenn du langsam blau wirst und hilflos nach Luft ringst, während du aber noch unter starkem Einfluss von Narkotika stehst, weil jemand aus Spaß grade deine Lungenmaschine gehackt hat, an der du hängst.

da wird dir sicher schnell klar, wieso du keine Ahnung hast, es eben doch GROBE Fahrlässigkeit ist und man dagegen dringen etwas machen muss.

weil auch wenn du es dir anscheinend gar nicht vorstellen kannst, es ( das sicherheits Problem) wird sehr bald sehr viel gefährlicher sein als deine komischen bremsen.
 
alu-xb schrieb:
....weil jemand aus Spaß grade deine Lungenmaschine gehackt hat, an der du hängst.
Zum Vergrößern anklicken....

Nur kann eine HLM nicht gehackt werden weil sie nicht am Internet ist sogar nicht mal im LAN.

alu-xb schrieb:
da wird dir sicher schnell klar, wieso du keine Ahnung hast
Zum Vergrößern anklicken....

Damit hast du dich eben selber disqualifiziert.
 
Auszug aus dem Zivilrecht:
Das deutsche Zivilrecht verwendet den Begriff der Fahrlässigkeit hinsichtlich des Verschuldens bzw. Vertretenmüssens. Es geht dort um den Haftungsmaßstab für das Einstehenmüssen für eigenes oder fremdes Verhalten. Nach § 276 Abs. 2 BGB ist Fahrlässigkeit das Außer-Acht-Lassen „der im Verkehr erforderlichen Sorgfalt“. Die Fahrlässigkeit grenzt sich vom Vorsatz dadurch ab, dass die Folge der Handlung nicht willensmäßig herbeigeführt worden ist. Damit Fahrlässigkeit überhaupt vorliegen kann, bedarf es der Vermeidbarkeit, der Voraussehbarkeit des rechts- beziehungsweise pflichtwidrigen Handelns und der sich daraus ergebenden Folge.
Zum Vergrößern anklicken....

Ich hab immernoch ein Problem damit, "Grob Fahrlässig" auf jegliche Sicherheitslücken anzuwenden. Dass es Leute die gibt die beim Programmieren Abkürzungen nehmen und sich zB sagen "ach, die Datenbank da muss man schon nicht verschlüsseln, Klartext tut auch" ist klar, sowas ist dann wohl fahrlässig weil sie wissen was sie tun und das Ergebnis in Kauf nehmen. Das gehört natürlich verfolgt.

Den Artikel habe ich aber eher so gelesen, dass einfach komplexitätsbedingt auch eine gewisse Zahl an Sicherheitslücken entsteht, derer sich die Programmierer a priori garnicht bewusst sind und die über Jahre unentdeckt bleiben können.
Und man kann einfach nicht gegen ALLE Szenarien testen - ok es gibt als immer mal wieder Aktionen von großen Firmen die sagen "hey hackt unsere Software, wer's als erster schafft und uns sagt wie er's gemacht hat kriegt Geld oder ne Anstellung", aber dieses Vorgehen kann sich nicht jeder Programmierer erlauben (weder finanziell noch zeitlich). IdR wird halt auf die gängigen Szenarien geprüft - aber wenn die Software dann gegen eine bis dato noch nicht existende Angriffsmethode verwundbar ist, dann kann man den Programmierern doch keinen Vorwurf machen. Hinterher kann man immer leicht sagen "oh war ja klar, dass da ne Schwachstelle ist!". Alle Schwachstellen vorherzusehen ist dagegen... ich würde mal abhängig von der Komplexität schon fast von "unmöglich" sprechen.
 
Zuletzt bearbeitet:
SineNefas schrieb:
Warum ist die Tragweite eine andere? Sicherheitslücken sind eine Katastrophe und nichts anderes.
Das Leute diese runterspielen ist ein Unding. Cybermobbing alleine treibt ja menschen in die
Depression...da möchte ich gar nicht wissen, was für ein Schaden mit Daten anrichtbar ist,
der nicht mal selbst bereit gestellt wurde.

Aber hey....alles halb so wild....die gesamte Softwareindustrie kann mich mal, was das angeht.
Immer schnellere Deadlines, immer weniger Qualität und mehr Geld. Aber hier kommt demnächst
eh die ganz fette Klatsche von der Industrie, dann freue ich mich, wenn die ganzen SAP, MSFT und
Oracle etc. Leute ihre Kündigungen haben!
Zum Vergrößern anklicken....

Darf ich dich mal fragen was deine Bandbreite im Bereich der Softwareentwicklung ist?
Bzw. ist sie jenseits deiner 1337-Hax0r-Clanpage, die noch html-Frames verwendet?

Ich gehe mal davon aus, dass du (offensichtlich) keine Ahnung von dem Beruf, der Arbeit, und dessen Ablauf hast.

alu-xb schrieb:
genau du und menschen wie du sind das Problem, unter anderem natürlich....
will dich mal sehen, wenn du langsam blau wirst und hilflos nach Luft ringst, während du aber noch unter starkem Einfluss von Narkotika stehst, weil jemand aus Spaß grade deine Lungenmaschine gehackt hat, an der du hängst.

da wird dir sicher schnell klar, wieso du keine Ahnung hast, es eben doch GROBE Fahrlässigkeit ist und man dagegen dringen etwas machen muss.

weil auch wenn du es dir anscheinend gar nicht vorstellen kannst, es ( das sicherheits Problem) wird sehr bald sehr viel gefährlicher sein als deine komischen bremsen.
Zum Vergrößern anklicken....

Bin ich für, dann darf ich aber auch folgendes:

Dich und deine Eltern auf Schadensersatz verklagen für jeden Dünnpfiff, den ich hier von dir lesen muss. Schließlich nimmt mein Gehirn das Ganze, neben der verschwendeten Zeit, auch auf und entwickelt sich dementsprechend und passt sich an. Kannst du die Integrität meines Gehirnes zu dem Punkt wiederherstellen, die es vor dem Lesen deines Postings hatte? Kannst du überhaupt die Tragweite erahnen?

Sollen jetzt Messerhersteller haften für jeden Vollpfosten, der damit seine Familie absticht? Ich meine, letzenendes hat doch der Mörder das Messer "gehackt"?

xyz- schrieb:
terroristen gibt es nicht, das nannte man früher staatsfeinde, und ist ein hausgemachtes problem vorallem seitens der us und a.
nur das sich mit dem wort terror vielmehr leute einspannen lassen bzw. viel mehr bei der masse rechtfertigen kann.
Zum Vergrößern anklicken....


Das ist ja schön und gut, nur am Punkt vorbei. Staaten sollen nach dem Grundsatz dienen nicht erpressbar oder kaufbar zu sein, das gilt für imaginäre Terroristen, aber auch für Steuerfahnder-CDs.

Luxuspur schrieb:
ist in den meisten anderen Branchen aber so! Da wird bei grober Fahrlässigkeit gehaftet, nur wie üblich soll in der Virtuellen Welt das mal wieder nicht gelten.
Zum Vergrößern anklicken....

Oh mein Gott, nein! Demnächst dürfen Flugzeuge auch nicht mehr fliegen, weil sie die Höchstgeschwindigkeit der Autobahn, die sie überflogen haben, überschritten haben.
Man sollte auch mal mit Verstand(!) differenzieren können...
Nur blöd wenn der Tatbestand der "groben Fahrlässigkeit" bei einem Bug nicht erfüllt wird.
 
Zuletzt bearbeitet:
Mal ne Frage zur totalen Verschlüsselung, gibt es nicht eine Möglichkeit direkt eine verschlüsselte Leitung vom Provider zu bekommen?

Also ich mein eben unabhängig vom Kompetenzgrad der Anwender sämtlichen Datenverkehr grundsätzlich zu verschlüsseln ohne das man mit VPN und Co hantieren müsste? Also quasi ein "Plug´n Crypt" Konzept, der den durchschnittlichen Mediamarkt-Komplettrechner-Käufer davor bewahrt ausgeschnüffelt zu werden...

Keine Ahnung ob sowas funktionieren würde, aber meine Devise ist eben - wo ein Wille da ein Feldweg und wo Geld verdient werden kann werden 6-spurige Autobahnen gebaut. Mit dieser Basis könnten doch weltweite Provider Ihre Infrastruktur so umbauen das sich "Dauer-Verschlüsselung as a Service" gut verkaufen ließe...

Noch besser wäre es allerdings wenn sowas per internationalem Gesetz vorgeschrieben wäre.
 
Idee ist gut, aber ich denke es gibt ein Problem... Die Verschlüsselung hört kurz vor den Bildschirm auf. Sowohl für Dich als auch auf der Seite wo der Hacker sitzt.

Sprich Phishing und Spam's werden sich so kaum beseitigen lassen. Der Unterschied ist nur der das die Daten jetzt über eine Verschlüsselte Leitung kommen aber vom DSL Provider ja logischerweise wieder am Ende für alle beteiligten Entschlüsselt. Eher könnte man Man in the Middle Attaken verhindern wo sich Leute in eine Leitung einklinken. Aber ich als Laie kenn mich da auch nicht aus.
 
Zuletzt bearbeitet:
Das ist ja klar das Verschlüsselung nichts bringt wenn auf verseuchten Rechnern die Daten schon vor der Verschlüsselung abgefangen werden.

Was das betrifft bin ich auch völlig grün hinter den Ohren, aber deswegen kann man sich ja trotzdem Gedanken machen.

Es ist wahrscheinlich auch ein generelles Infrastruktur Problem, wenn Datenverkehr grundsätzlich verschlüsselt würde, z.b durch spezielle Krypto-Chips die direkt auf die Netzwerkadapter sitzen und zwar generell auf jeden der verkauft und verbaut wird, könte man man zumindest das wahllose Mitschneiden von Traffic verhindern. Zumindest solange bis wieder irgendein Snowden daherkommt und uns erzählt das sämtliche Kryptochips dieser Erde durch NSAKGBND oder was weiß ich kompromitiert sind...

Die Jagd nach Daten egal welcher Art und den Schutz davor wird wohl auf ewig ein Katz und Maus Spiel bleiben. Den das Problem ist ja nicht die Technik sondern schlicht der Mensch...

Ob sich das jemals aus der Welt schaffen lässt und wir unsere Türen nicht mehr verschließen müssen, wage ich derzeit zu bezweifeln. Denn mit Vertrauen lässt sich leider kein Geld verdienen.
 
@Quantität
Ich weiß, du meinst es gut, aber deine Vorschläge helfen nicht oder sind zu kurz gedacht.

Der Provider könnte nur innerhalb seines eigenen Netzes verschlüsseln. Sobald die Pakete sein Netz verlassen, muss er sie entschlüsseln, damit die Server oder Clients etwas mit den Daten anfangen können. Die Verbindung an sich wäre damit zwar gegen Man-in-the-Middle-Attacken recht gut geschützt, allerdings sind die Endpunkte (Client, Server anderes Providernetz) die Schwachpunkte.

Die Krypto-Chips, die du vorschlägst, gibt es schon. Z. B. in den Intel-CPUs gibt es eine Erweiterung, die Ver- & Entschlüsselung nach dem AES-Standard stark beschleunigt (Stichwort AES-NI). Es gibt natürlich auch dedizierte Krypto-Chips. Z. B. TPM ist etwas in der Richtung, wobei es aber nicht explizit für sichere Kommunikation entwickelt wurde.
Chips an sich sind keine so gute Idee. Es kann immer mal passieren, dass man sie falsch zusammengebastelt hat und sie damit unsicher sind. Und Updates kann man meist auch keine einspielen. Man muss dann also mit den Fehlern leben. :-(


Kryptographie hin oder her, das eigentliche Problem ist die Software. Wenn die nicht sauber programmiert wurde, ist sie anfällig. Nur ist es quasi unmöglich, sämtliche Sicherheitslücken zu stopfen. Software ist heutzutage so komplex, dass sie keiner mehr überblicken kann. Man schaue z. B. auf Windows: Über 10 GB Programmdaten! Da drin können tausende Fehler stecken, die bisher keiner entdeckt hat.
In der Softwareentwicklung ist das Problem ähnlich gelagert. Unter Umständen arbeiten hunderte Leute (bei MS mehrere tausend) an einem Programm; da weiß die linke Hand nicht, was die rechte tut. Die Komplexität zwingt die Programmierer zu dieser Aufteilung der Arbeit. Man kann es nicht verhindern. Und am Ende muss man deswegen erst mal wochenlang die Software testen und von Fehlern befreien.
 
Cool Master schrieb:
Nur kann eine HLM nicht gehackt werden weil sie nicht am Internet ist sogar nicht mal im LAN.

Damit hast du dich eben selber disqualifiziert.
Zum Vergrößern anklicken....

Er hat völlig Recht! Auch wenn es das genannte Beispiel in der Realität nicht gibt, lässt sich daran wunderbar zeigen, warum die Denkweise in der IT-Sicherheit unbedingt auf ein neues Niveau gehoben werden muss. Analog zur Automobilbranche: Wer Software entwickelt, die bei Fehlverhalten Menschenleben in Gefahr bringen kann (z.B. Medizintechnik, Verkehrsmittel), sollte meiner Meinung nach auch verpflichtet sein, einen Nachweis für Schutzmaßnahmen gegen mögliche Angriffsszenarien zu erbringen. Alle Fälle werden nie abgedeckt werden können, aber wenn man hier einen Sicherheitsstandard schafft, wäre dies zumindest ein Schritt in die richtige Richtung.

Im erweiterten Sinne kann das auch für normale Software gelten. Man bedenke das Szenario, bei der beispielsweise intime Daten, Fotos, Videos erbeutet werden. Das kann auch ein Menschenleben zerstören. Auch hier würde der Großteil der Angriffsmöglichkeiten beseitigt werden, wenn es gewisse Standards für Kommunikation, Speicherverwaltung, Datenbanken etc. gäbe. (Alles erwähnte ist allgemein zu verstehen und nicht auf bestimmte Programme bezogen)
 
Nur ist ein Bug keine grobe Fahrlässigkeit...

Kommt mal bitte auf dne Boden der Realität. mekunekud hat hier schon recht. Ein Unternehmen kann einfach nicht jedes Szenario durchspielen. Software ist heute so komplex, da sind Bugs einfach drin das ist so. Keiner baut absichtlich Bugs ein aber man schaue sich einfach mal so Projekte wie Joomla, Drupal, Django-CMS oder oder oder an da stecken mehrere tausend bis zehntausend Mannstunden drin.
Zum Vergrößern anklicken....
Oh mein Gott, nein! Demnächst dürfen Flugzeuge auch nicht mehr fliegen, weil sie die Höchstgeschwindigkeit der Autobahn, die sie überflogen haben, überschritten haben.
Man sollte auch mal mit Verstand(!) differenzieren können...
Nur blöd wenn der Tatbestand der "groben Fahrlässigkeit" bei einem Bug nicht erfüllt wird.
Zum Vergrößern anklicken....

Bugs die bekannt sind / bekannt werden und ewig nicht geschlossen werden sind grob fahrlässig! Ebenso ist es grob fahrlässig wenn Kundendaten unzureichend geschützt werden!

Ebenso ist es grob fahrlässig wenn eine Fehlersuche erst gar nicht richtig stattfindet und Bananenware beim Kunden reift!

Um bei deinem Beispiel zu bleiben ein Flugzeug bei dem Plannungsfehler und Materialfehler nachgewiesen werden darf nicht mehr fliegen und kommt es dadurch zum Absturz sind die Schadensersatzforderung ziemlich hoch!

Produkthaftung gehört auch in die Welt eines Softwareentwicklers!
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

L
Synology auf Synology über Internet (Sicherheit?)
2
Antworten
30
Aufrufe
2.962
LeFireblade
L
W
Handy + Internet Sicherheit?
Antworten
7
Aufrufe
1.818
Cadoc
C
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz