News Lapsus$: Samsung bestätigt Diebstahl von kritischem Quellcode

[Raziel-Noir]

Ich selbst mag Samsung aus bestimmten Gründen nicht, aber hier muss man leider fairerweise sagen:

Samsung wie Nvidia sind große, international bekannte Firmen. Das diese Ziele eines Hacks werden, ist nachvollziehbar und erwartbar. Und bei entsprechend großen Firmen ist IMHO die Angriffsfläche groß. (Ala: Wenn mehr als 1 Person ein Geheimnis kennt, ist es keines mehr...) Daher ist es schon bedenklich, wenn es der gleichen Gruppe kurz hintereinander bei zwei großen Tech-Firmen gelungen ist!

 

[psyabit]

Quellcode Open Source machen und schon hat sich das Problem in Luft aufgelöst, aber das wäre ja nicht kapitalistisch genug 😀

So einfach ist die Welt dann doch nicht.

 

[Tamron]

So ein Post kann doch nur auskommen, wenn man hirnlos über Open Source herziehen will 😂

Dein Post ist der ewig gleiche langweilige Bullshit aus der gleichen Ecke: Wäre alles Open Source auf der Welt gäbe es keine Sicherheitslücken, weil ja alle überall alles kontrollieren könnten, alle hätten nahezu alle Technologien. Der Ansatz ist einfach weltfremd.

 

[riloka]

Ich selbst mag Samsung aus bestimmten Gründen nicht, aber hier muss man leider fairerweise sagen:

Samsung wie Nvidia sind große, international bekannte Firmen. Das diese Ziele eines Hacks werden, ist nachvollziehbar und erwartbar. Und bei entsprechend großen Firmen ist IMHO die Angriffsfläche groß. (Ala: Wenn mehr als 1 Person ein Geheimnis kennt, ist es keines mehr...) Daher ist es schon bedenklich, wenn es der gleichen Gruppe kurz hintereinander bei zwei großen Tech-Firmen gelungen ist!

Wobei ich ja eher dazu tendiere zu sagen: Solch große Firmen sollten genug Expertise eingekauft haben im Vergleich zu kleineren und mittelständischen Unternehmen um sich vor so etwas zu schützen.

Da sollten , wenn überhaupt, nur unwichtige Daten wie die Menüfolge bei der nächsten Firmenfeier rausgetragen werden können. Nicht Treiber und wie bei NVIDIA das Layout der Chips auf unterster Ebene

 

[1lluminate23]

Autsch, dass tut schon weh!
Für die Firma ein Imageverlust, die Konkurrenz reibt sich die Hände.
Für Samsung-Kunden mit einem Galaxy (wie ich z.B. ) ein mulmiges ungutes Gefühl, was auf uns zukommen könnte.

Jetzt das große aber - ABER andere Unternehmen sind infiltriert ohne das sie es überhaupt merken, ohne der Öffentlichkeit mitteilen., denn 100% Sicherheit gibt es nicht.

Das Erinnert mich an eine Konferenz mit dem guten Sämye Hypien von F-Secure (Gott hab ihn selig, ich weiß nicht wie er sich genau schreibt) aber ein ganz bedeutender Satz ist mir in Erinnerung geblieben.

Auf die Frage eines Reporters, ob den F-Secure bis dato nicht infiltriert wurde von Hackern, beantwortete er mit: "Es wäre eine Lüge, wenn ich dies behaupten würde!"

 

[Drakrochma]

Ihr würdet wahrscheinlich eine höhere Akzeptanz erreichen, wenn ihr dem Ding einen deutschen Namen geben würdet ...

Sicher würde es auch helfen, wenn die IT-Truppe weniger von oben runter agieren würde.
Wir (etwas größere Firma mit >15000 Mitarbeitern weltweit) haben vor ein paar Jahren einen neuen Chef in der IT bekommen, weil der bisherige sein iPad in Shanghai auf nem Klo hat liegen lassen - mit allen backup-passwörtern und Authentifizierungsphrasen zu quasi allen relevanten Abteilungen handschriftlich im Cover...
Passte wohl nicht ganz zu dem ewigen gepolter bezüglich monatlich Passwort ändern, bloß nix aufschreiben, mindestens 12 Zeichen und so weiter.

 

[KitKat::new()]

Wäre alles Open Source auf der Welt gäbe es keine Sicherheitslücken, weil ja alle überall alles kontrollieren könnten, alle hätten nahezu alle Technologien.

Lies doch erstmal meinen Beitrag bevor du mir irgendeinen Quatsch in den Mund legst

 

[Tamron]

@KitKat::new() Es ist genau das und ewig das gleiche. Deine Argumente sind haltlose Behauptungen, nur weil etwas möglich wäre, muss es auch nicht funktionieren. Es gibt keine Beispiele dafür, dafür gibt es etliche Gegenbeispiele.
Ich sehe keinen Vorteil für Firmen, ihren wichtigen Code zu veröffentlichen.

 

[commandos2]

Ich würde zu gerne wissen, wie leicht/schwer es die Hacker hatten...

Beim AMD Shop zum Beispiel kommt AMD nicht gegen einen Holländer an.

Der Typ ist aber kein Holländer und es handelt sich nicht um eine einzige Person.
Nicht immer jeden Schmarn glauben den du bei HWluxx im Forum liest.

Selbst mal die Initiative ergreifen.

 

[KitKat::new()]

Ich sehe keinen Vorteil für Firmen, ihren wichtigen Code zu veröffentlichen.

1. Vorteil stand doch schon in meinem Post: Firmen müssen ihren Code nicht geheimhalten und sich keine Sorgen um Leaks machen

Deine Argumente sind haltlose Behauptungen

inwiefern?

 

[Tamron]

@KitKat::new()
Und wo ist der Vorteil, wenn du sehr viel von deinem IP ohne Benefit veröffentlichst?
Du brauchst keine Angst mehr davor haben, dass dein Auto geklaut wird, wenn du einfach die Tür offen lässt.

Dann zeige wissenschaftliche Studien, die aufweisen wie viel besser und sicherer es als riesiges Tech-Unternehmen ist, seinen Code als Open Source zu veröffentlichen. Ach das geht nicht? Ach Mist...
Also kann man es gar nicht vergleichen, ob es überhaupt einen Mehrwert hätte seinen Code zu veröffentlichen.

 

[KitKat::new()]

Und wo ist der Vorteil, wenn du sehr viel von deinem IP ohne Benefit veröffentlichst?

Firmen müssen ihren Code nicht geheimhalten und sich keine Sorgen um Leaks machen

Wir drehen uns im Kreis

Du brauchst keine Angst mehr davor haben, dass dein Auto geklaut wird, wenn du einfach die Tür offen lässt.

Ergibt für mich keinen Sinn.

 

[Tamron]

Ich weiß nicht was daran so schwer zu verstehen ist...Was ist der Benefit davon, dass ich viel IP veröffentliche? Du kommst nur mit: Ja dann brauche ich keine Angst vor Diebstahl haben, weil ich es ja eh schon veröffentlicht habe. Das ist doch kein Mehrwert.
Wenn ich etwas gebe, egal was, muss es MIR etwas nutzen. Wozu etwas geben, wovon ich nahezu keinen Nutzen habe? Achja, ich brauche keine Angst vor Diebstahl mehr haben -hab es vergessen
Es bringt Huawei seinen Code für kritische Netzwerk Infrastruktur zu veröffentlichen, damit das BSI und co. den Code untersuchen können und somit der Weg frei ist, um nicht in der hiesigen Wirtschaft ausgeschlossen zu werden.
Was bringt es Nvidia oder Samsung Code zu deren Grafikchips oder CPUs zu veröffentlichen?

 

[MADman_One]

Naja, dann ist eure Umsetzung zu kompliziert/aufwändig und endet darin, dass es für den Anwender ein zusätzlicher Aufwand ist und/oder ihn in seiner Arbeit stört.
Kenne das Thema in der Maschinensicherheit und da ist dasselbe Thema. Sobald die Sicherheit Leute beim Arbeiten stört ist deren erste Intuition, wie kann ich es umgehen. Tatsächlich ist man in der Maschinensicherheit schon so weit, dass eine Lösung die den Arbeiter in seiner Aufgabe blockiert keine Lösung mehr ist.
Die IT ist da leider noch lange nicht angekommen...

Bei Dir klingt das so als wäre es immer möglich, Sicherheit so zu implementieren, daß sie niemanden stört. Leider trifft das meiner Meinung nach aber nicht zu. Eine Maschine gegen Fehlbedienung und Verletzungsgefahr abzusichern ist ein ganz anderes Thema als ein komplexes Softwaresystem, bei dem es meist trotzdem Einfallstore gibt, obwohl das UI vielleicht perfekt ist, weil die Schwachstelle vielleicht in einem Teil sitzt, den der Entwickler gar nicht unter Kontrolle hat oder nicht mal davon wissen kann weil ein anderer Zuständig war. Ich bezweifle daher, daß die IT jemals auf dem Level ankommen kann.

Der Anschnallgurt im Auto blockiert heute scheinbar auch noch viele und sie versuchen ihn zu umgehen, obwohl seine Sicherheit erwiesen ist und niemand bisher eine bessere Lösung gefunden hat.
Und manchmal fühlen sich Leute auch einfach nur blockiert, nur weil sie sich nicht anpassen wollen und nicht weil sie nachweislich blockiert wären.

So leicht wie es bei Dir klingt ist es daher meiner Meinung nach nicht.

 

[setado]

Man kann als unerfahrener User jetzt eh nur hoffen, dass Schwachstellen erkannt und diese gepacht werden. Während Custom Rom Nutzer sich diese noch zu nutze machen können um ein eigenes OS aufzuspielen. Anders als bei Nvidia also immerhin Vorteile für Nutzer auch wenns Samsung sicher nicht erfreut. Bei Custom Roms muss man dann zudem auch Lücken offen lassen. Und ich sehe dennoch etliche Geräte für die neue Malware aufkommen wird.
Besser man informiert sich vorher welche Geräte vl. länger Firmware Updates bekommen und wo man den bl entsperren kann, ohne Kompromisse einzugehen.

 

[Beelzebot]

(Konzern) IT-Sicherheit betrifft jeden vom Azubi über Putzfrau bis zum CEO.

Das ist echt so.
Ich kannte mal einen der zwischen Ausbildung und Studium die IT einer Bank, glaube es war eine Sparkasse, mit administriert hat. Meine Lieblingsstory war die, dass sie in regelmäßigen Abständen, immer wiederkehrende Serverausfälle hatte. Die Logfiles gaben nix her, die Software wurde durchgecheckt, dann hat man neue Hardware angeschafft, die Stromleitungen geprüft usw. Als letzte Maßnahme haben sie sich dann daneben gesetzt um Live zu beobachten warum der jeden Mittwoch, etwa zur selben Zeit, in der Nacht abschmiert. Als sie da so saßen ging plötzlich die Tür auf, die Putzfrau kam rein und zog dem Teil den Stecker raus.... weil sie den für ihren Staubsauger brauchte. Die Kinnlade fiel runter und völlig fassungslos erklärten sie ihr dann, dass sie in diesem Raum überhaupt nicht reinigen muss.
Die Liste an solchen Storys ist endlos und da schüttelt man schon als Laie mit dem Kopf.

 

[Geringverdiener]

nicht das ich Samsung hinterher heule, aber gibt es keine Möglichkeit das die wichtigsten Daten mit einem Crypter versehen werden der automatisch zuschlägt bei unberechtigten Zugriff? welche anschliessend nur die jeweilige Firma entschlüsseln kann die dieses Tool entwickelt und angewendet hat. (umgekehrte Verbrechertechnik). So haben die Banditen nur xxxTB verschlüsselt Daten gestohlen.

 

[roket]

dass sie in diesem Raum überhaupt nicht reinigen muss.

die frage ist eher wie kommt die überhaupt in solch einen raum rein.

 

[SockeTM]

Alleine schon wegen Betriebsspionage wäre ich da ultra Paranoid.

Richtig. Ich sehe die Problematik im Homeofficebereich, bzw. wie Daten dann dort von den Mitarbeitern "bearbeitet" werden. Die Gruppe macht Ihren Run wahrscheinlich mit genau der Tatsache.

 

[FlowFun]

Es geht bei sowas verdeckt immer um viel Geld und nicht um Robin hood Aktionen. Hier hat einfach einer nichts gezahlt.