Wordo 11 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 Wenn das stimmt hoff ich mal das MS nicht von OpenBSD geklaut hat. :) OpenBSD IPSEC Backdoored ≈ Packet Storm Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 tjo..und was soll ich mit meinen appliances machen ? Selbst wenn ich programmieren könnte, ich kann ja die software die da drauf rennt nicht debuggen und schon garnicht etwas ändern das mir nciht schmeckt Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. Dezember 2010 Autor Melden Teilen Geschrieben 15. Dezember 2010 Funkwerk statt Cisco! :D Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 Meine Güte. Die über'n großen Teich sind doch die reinsten Verbrecher :( Das ist für Cisco ja 'ne echte Horror-Nachricht und kann noch richtig weh tun. Aber wenigstens bekommen die von Wikileaks was sie brauchen :) Also, schöne Grüße FBI, CIA oder NSA. Meinen richtigen Namen und meine Privatadresse habt Ihr ja ;) Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 16. Dezember 2010 Melden Teilen Geschrieben 16. Dezember 2010 Aua, das kann ja noch interessant werden. Ich wollte gerade hier noch reinschreiben, dass es auch ne Meldung bei Heise gibt, ich hätte auch den link zum Artikel hier reingesetzt, wenn nciht gerade heise down wäre. (haben die was gegen Wikileaks geschrieben?) Michael Edit (11:29): aah Heise ist wieder online http://www.heise.de/newsticker/meldung/FBI-Backdoor-in-IPSec-Implementierung-von-OpenBSD-1153180.html Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 17. Dezember 2010 Autor Melden Teilen Geschrieben 17. Dezember 2010 Das hier ist auch nett: An FBI backdoor in OpenBSD? In reality, the Clinton administration was very quietly working behind the scenes to embed backdoors in many areas of technology as a counter to their supposed relaxation of the Department of Commerce encryption export regulations – and this was all pre-911 stuff as well, where the walls between the FBI and DoD were very well established, at least in theory. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden? Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist... Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 Richtig. Sollte sich herausstellen, dass die Story wahr ist (was ich befürchte), ist dieses Argument deutlich im A... Ich würde mir ja wünschen, dass sich Cisco mal zum Thema äußert. Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist. Michael Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 War nicht ein dickes Argument für Open Source dass da hunderte von unabhängigen Programmierern den Code ansehen und deswegen Lücken schneller und sicherer entsdeckt und beseitigt werden? Ich würde mal sagen dass diese Sache der Beweis dafür ist dass dieses Argument für open Source falsch ist... Na, ja. Würde ich so jetzt nicht sagen. Ich denke mal, dass es auch darauf ankommt, wie viele Entwickler an einem Projekt mitwirken. Ich behaupte mal, dass so was bei Canonical nicht vorkommt. Aber mal was anderes: Wie sicher kann man denn sein, das Microsoft-Entwickler nicht auch auf der Gehaltsliste der US-Regierung stehen? Man kann ja sagen, dass bei OpenBSD nicht ordentlich kontrolliert wurde (wobei es schon Möglichkeiten gibt, eine Backdoor im Code zu verstecken, damit es nicht so leicht entdeckt wird). Aber wenn so was bei Closed Source passiert, wie soll man das je kontrollieren? :suspect: (Die Hintertür im RRAS ist ja bis heute auch noch nicht entdeckt worden, he, he, he ;) :D :schreck: ) Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 naja, das ist kein Widerspruch. Lücken werden (immer noch: wenn s wahr ist) bei Open Source nicht unbedingt erkannt. Bei Closed Source werden evtl. heimlich eingebaut und keiner kann suchen. Diese Lücken werden nur ganz zufällig entdeckt. Man muss nur mal die Wahrscheinlichkeiten unterscheiden. Aber trotzdem das Argument "werden immer und schnell erkannt" wäre tot. Michael Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 Ich hoffe ja noch, dass die Hintertür durch die vielen Überarbeitungen an Software in den 10 Jahren schon wieder zugeschlagen ist. Michael Gerade bei Security ist hoffen der falsche Ansatz... Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 Da hast Du völlig Recht, das ist mir auch klar. Aber mir bleibt nichts anderes übrig als zu versuchen herauszufinden, ob meine Produkte betroffen sind. (Open Source Code kann jeder mitlesen stimmt zumindest was mich angeht nicht. Ich guck da rein wie eine Sau ins Getriebe) Wenn meine Produkte betroffen sind, hab ich die tolle Aufgabe mir zu überlegen, was zu tun ist: - Versuchen herauszufinden, ob es ein Risiko gibt und wie hoch das ist (und hier spielt der Satz, dem Du widersprichst zumindest eine kleine Rolle) - GF ansprechen "hey, die gerade neu angeschaffte Cisco war doch nciht so eine tolle Idee, wir brauchen jetzt was-auch-immer" - Herausfinden was was-auch-immer ist etc pp Sicherheit ist eben kein Projekt sondern ein Prozess. ham wir schon immer gewusst. :-) Zitieren Link zu diesem Kommentar
scn 10 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 Gerade bei Security ist hoffen der falsche Ansatz... Sondern? Schriftliche Garantien des Programmierers? Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 hihi Die Hoffnung stirbt zuletzt. Nö, am Ende muss ich immer hoffen, das meine Entscheidung, die ich natürlich ordentlich abgewägt habe, richtig war. Aber das Misstrauen gegenüber jeglichen Herstellern ist ganz gesund. Das (blinde) Vertrauen in OpenSource ist zumindest bei mir (vorerst) erschüttert. Michael PS: hi scn: willkommen an Board höhö "Schriftliche Garantien des Programmierers?" ist n prima Scherz. Dann muss ich ja schon wieder hoffen, dass die nicht schummeln bei den Garantien. Zitieren Link zu diesem Kommentar
scn 10 Geschrieben 17. Dezember 2010 Melden Teilen Geschrieben 17. Dezember 2010 Das (blinde) Vertrauen in OpenSource ist zuminsest bei mir (vorerst) erschüttert. Michael "No amount of source-level verification or scrutiny will protect you from using untrusted code." von ACM Classic: Reflections on Trusting Trust erschienen Magazine Communications of the ACM CACM Homepage archive Volume 27 Issue 8, Aug 1984 kanntest du noch nicht? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.