News Lapsus$: Samsung bestätigt Diebstahl von kritischem Quellcode

Hat es sich damit jetzt "ausgeKnoxed"?

Oder ist Samsung Knox davon nicht betroffen?
 
Daniel D. schrieb:
Ist den Firmen Sicherheit so wenig wert? Verstehe ich nicht.

Enigma hielt man auch für unknackbar.

Das blöde am Software ist, dass man nicht mal einen Messzug über die Brücke fahren lassen und wenn er am anderen Ende der Brücke ankommt, davon ausgehen kann, alles ok.

Oft genug baut man einen 3 m dickes Stahltor und zwei Schritte neben der Tür ist nur eine 20 cm hohe Hecke.

Dann gibt es da einen menschlichen Faktor.

Selbst aus den Datenzentren von NSA sollen Daten entfleucht sein hörte ich...
 
  • Gefällt mir
Reaktionen: Volvo480 und kaji-kun
Postman schrieb:
D.h. nun kommt man über alle Samsung TV Geräte ungehindert übers Internet in das hauseigene LAN-Netzwerk?
Schönen Dank auch - viel wichtiger ist die Frage, ob nun alle betroffenen TV Geräte (auch ältere?) ein Firmware Update bekommen...
Wie kommst du denn da drauf? Also mal unabhäng davon, dass Smart Home Geräte im allgemeinen als nicht vertrauenswürdig behandelt werden sollten, kann man ohne Portfreigabe keine Verbindung in dein LAN aufbauen.
Problematisch wird es allerdings, wenn die Samsung Account Authentifizierungsserver nicht mehr unter der Kontrolle Samsungs ständen.
 
Hört sich nach Super-GAU an
 
Hmm das einzige was mich persönlich daran interessiert ist ob man dadurch den Knox Counter aushebeln kann nachdem man sein samsung gerootet hat.
Andererseits muss ich zugeben das ich bei firmen wie zb. samsung diesbezüglich 0 Mitleid habe. Nach einigen Jahren sind den ihre Geräte im SW bereich EoL und dadurch findet vielleicht mal ein umdenken statt, ich weiss man wird ja wohl noch träumen dürfen^^
 
  • Gefällt mir
Reaktionen: Chr1s603 und Termy
Daniel D. schrieb:
Ist den Firmen Sicherheit so wenig wert? Verstehe ich nicht.

Das habe ich mir auch erst gedacht, aber 100% Sicherheit gibt es nicht und da wir nicht wissen, wie der Hack funktioniert hat, kann man das nicht so allgemeingültig sagen.
 
Es wird Zeit das diese kriminelle hinter Schloss und Riegel kommen. Außerdem sollten die Firmen die betroffen sind einmal ihre Sicherheitsstrategie überdenken.
 
M@tze schrieb:
Das habe ich mir auch erst gedacht, aber 100% Sicherheit gibt es nicht und da wir nicht wissen, wie der Hack funktioniert hat, kann man das nicht so allgemeingültig sagen.
Weiß ich jetzt im bestimmten Fall auch nicht. Jedoch dürfte derzeit immer noch social engineering und ransomware die Spitzenplätze einnehmen.
 
Jesses, wie ueblich wird nur auf der Firma die den Schaden hat rumgehackt.

Moderne IT Systeme sind zu komplex um auch nur im Ansatz die Hoffnung auf ein 100%tig sicheres System haben zu koennen. Spaetestens wenn der Faktor Mensch rein kommt gibt es kein sicheres System mehr in das man nie hereinkommt.
Ohne weitere Details zu kennen wie die Hacker reingekommen sind ist doch alles nur wildeste Spekulation.

Bei Zielen wie Samsung oder nVidia duerfte es sich dann auch lohnen den ein oder anderen Zero-Day Exploit dafuer zu verbrennen. Und dann steht eine interne IT ziemlich hilf- und ahnungslos da.
 
  • Gefällt mir
Reaktionen: Volvo480
m1key_SAN schrieb:
Ich kenne das Problem auch bei uns im Konzern, wenn die Mitarbeiter wieder die Augen rollen wenn es um das Security Awareness Training geht!
Naja, dann ist eure Umsetzung zu kompliziert/aufwändig und endet darin, dass es für den Anwender ein zusätzlicher Aufwand ist und/oder ihn in seiner Arbeit stört.
Kenne das Thema in der Maschinensicherheit und da ist dasselbe Thema. Sobald die Sicherheit Leute beim Arbeiten stört ist deren erste Intuition, wie kann ich es umgehen. Tatsächlich ist man in der Maschinensicherheit schon so weit, dass eine Lösung die den Arbeiter in seiner Aufgabe blockiert keine Lösung mehr ist.
Die IT ist da leider noch lange nicht angekommen...
 
  • Gefällt mir
Reaktionen: Haldi, m1key_SAN, rosenholz und 2 andere
War es wirklich Hack im Sinne von ZeroDay Exploit, oder hat man die Passwörter nicht stark genug ausgewählt?
 
KitKat::new() schrieb:
Quellcode Open Source machen und schon hat sich das Problem in Luft aufgelöst, aber das wäre ja nicht kapitalistisch genug 😀
weil ja Open Source auch so viele Sicherheitslücken in letzter Zeit verhindert hat...aka Log4J und co. :freak:
 
Solange in Firmen "Führungskräfte" aus dem Geburtsjahrgängen <1970 das Sagen haben, werden es junge, affine Hacker immer wieder schaffen.
In vielen Firmen ist zudem IT ein Fremdwort. Alles was über Windows hinausgeht, ist den Leuten zu hoch.
Und Geld/Budget für IT-Sicherheit ist rausgeworfenes Geld.

Wir sprechen in Dtl. über Digitalisierung und kürzen in der IT die Budgets.
 
UNDERESTIMATED schrieb:
Meist sind es die Mitarbeiter die als selbstverständlich betrachtet auch nur das selbstverständliche Grundgehalt bekommen. Die Systeme selbst sind seltenst schuld an solchen Diebstählen.
Für so hochsensible Daten sollte es ja zusätzliche Sicherungen geben. Es kann ja nicht jeder Mitarbeiter auf alles zugreifen. Mich macht nur immer wieder stutzig dass es nicht früher auffällt wenn so große Datenmengen gestohlen werden. Es sollte doch allen Sicherheitsbeauftragten klar sein dass der Mensch die Schwachstelle im System ist. Ich gehe mal stark davon aus dass eher aus Bequemlichkeit auf maximale Sicherheit verzichtet wurde um die Arbeitsabläufe flüssiger zu halten.


In Deutschland müssen sich die meisten Firmen da ja zum Glück keine großen Sorgen machen, bis hier mal jemand 190GB durch die 2Mbit Leitung gesaugt hat sind die Daten längst veraltet :D
 
Tamron schrieb:
weil ja Open Source auch so viele Sicherheitslücken in letzter Zeit verhindert hat...aka Log4J und co. :freak:
So ein Post kann doch nur auskommen, wenn man hirnlos über Open Source herziehen will 😂

1. Dein Post macht nichtmal in sich Sinn: Nur, weil es eine Sicherheitslücke gibt, die Open Source nicht verhindert hat, heißt es nicht, dass Open Source viele Sicherheitslücken verhindert
2. Ich habe nicht behauptet, dass OS in letzter Zeit "so viele Sicherheitslücken verhindert hat", sondern eher, dass sich ein Unternehmen nicht vor einen Source leak fürchten müsste, wäre der Source eh Open Source
 
  • Gefällt mir
Reaktionen: Haldi, Chr1s603, Letscho und eine weitere Person
MasterAK schrieb:
Ihr würdet wahrscheinlich eine höhere Akzeptanz erreichen, wenn ihr dem Ding einen deutschen Namen geben würdet ...
Das glaube ich. Die englische Sprache ist doch so einfach. Zumindest beim lesen. Ich finde die deutsche Sprache viel schwieriger zur erlernen.
 
  • Gefällt mir
Reaktionen: m1key_SAN
P4P800 schrieb:
Solange in Firmen "Führungskräfte" aus dem Geburtsjahrgängen <1970 das Sagen haben, werden es junge, affine Hacker immer wieder schaffen.
In vielen Firmen ist zudem IT ein Fremdwort. Alles was über Windows hinausgeht, ist den Leuten zu hoch.
Und Geld/Budget für IT-Sicherheit ist rausgeworfenes Geld.

Wir sprechen in Dtl. über Digitalisierung und kürzen in der IT die Budgets.
Ich glaube nich dass die Junge Elite jünger als 1992 es so viel besser macht mit der Sicherheit.
 
  • Gefällt mir
Reaktionen: Himbeerdone
Zurück
Oben