nicht angemeldet
Rubicon und SSH
TS
0 0 TS
2 0 TS
0 0 TS
1 0 TS
0 
Auge
0 
Der Martin
1 
robertroth
Rubicon und SSH
TS
Hello,
gerade habe ich nochmal zum xten Mal den Bericht über Rubicon auf Phönix gesehen.
Da kommt bei mir jedes Mal die Frage wieder hoch, wie sicher eigentlich SSH heute noch/wieder ist? Bekanntermaßen gab es da ja auch mal einen "Infekt".
Wer weiß mehr?
Glück Auf
Tom vom Berg
--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.
akzeptierte Antworten
Rubicon und SSH
Bewertung: +2, 2 Stimmen
-
Der Unterschied zwischen der Crypto-AG und FOSS-Software (open-ssh) ist im Kern folgender:
Bei der Crypto-AG wurden proprietäre Methoden für die „Verschlüsselung“ eingesetzt. Der Kunde konnte diese nicht nachvollziehen und kontrollieren.
Zumindest open-ssh, tls und viele darauf basierender Anwendungen sind Quelltext-offen:
a) deshalb und b) wegen deren Bedeutung
kann man davon ausgehen, dass dieses „Nachvollziehen und und überprüfen“ regelmäßig durch Personen, die was davon verstehen, im eigenen Interesse stattfindet.
Wahr ist allerdings auch, dass Geheimdienste immer wieder versuchen, Einfluss auf die Standardisierungsgremien zu nehmen (ich erinnere mal an „geschwindigkeitsoptimierte“ und deshalb für brute-force und Wörterbuchangriffe vergleichbar anfällige „Digest“ SHA1).
Das kam ziemlich schnell auf den Tisch.
-
Hello,
naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.
Erinnert sich da noch jemand an die Zusammenhänge?
Glück Auf
Tom vom Berg--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.-
naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.
Erinnert sich da noch jemand an die Zusammenhänge?
Sicherlich meinst Du „Heartbleed“.
Wikipedia: https://de.wikipedia.org/wiki/Heartbleed
Das ändert aber gar nichts an der Aussage, dass FOSS-Software im Gegensatz zu geheimer Software/geheimen Methoden wie im Falle Rubikon/Crypto AG überprüfbar ist.
-
Hello,
naja, die SSH-Lücke in bestimmten Systemen hat meiner Erinnerung nach ziemlich lange bestanden. Ich bekomme das jetzt leider nicht mehr zusammen. Deshalb hatte ich gefragt.
Erinnert sich da noch jemand an die Zusammenhänge?
Sicherlich meinst Du „Heartbleed“.
Wikipedia: https://de.wikipedia.org/wiki/Heartbleed
Danke. Nun kommt die Erinnerung zurück ;-)
Das ändert aber gar nichts an der Aussage, dass FOSS-Software im Gegensatz zu geheimer Software/geheimen Methoden wie im Falle Rubikon/Crypto AG überprüfbar ist.
Es muss nur auch jemand merken, beweisen können und die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren.
Glück Auf
Tom vom Berg--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.-
die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren
Die europäische Kommission hat ein Programm dafür aufgelegt. Ist die mächtig genug?
-
Hello,
die Macht/Kenntnisse haben, es in passenden Kreisen breit zu publizieren
Die europäische Kommission hat ein Programm dafür aufgelegt. Ist die mächtig genug?
Einmal Paranoia zu Recht gehabt, immer paranoid.
So würde ich meinen Sichtwinkel dazu beschreiben :-OIch suche erstmal nach Transparenzberichten, also wann die was entdeckt haben, wo sie es wann veröffentlicht haben, usw. Und ob und wie man eigene Hinweise in Verdachtsfällen geben könnte und wie die behandelt werden.
Glück Auf
Tom vom Berg--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.-
Ich suche erstmal nach Transparenzberichten,
Versuch der Hilfestellung:
Ich hab den Link zum EU-FOSSA-2 Programm der Europäischen Kommission irgendwie vom sehr(!) lesenswertem Artikel
- Heise:Security: „Best of Backdoor-Fails“
aus gefunden. Dort, wo er war, stand ein wenig mehr dazu
Übrigens ist kein einziges der „gelochten“ Programme open source.
-
Hello,
da werde ich lesen und im Administrators Journal.
Übrigens ist kein einziges der „gelochten“ Programme open source.
Das ist allerdings interessant.
Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.Glück Auf
Tom vom Berg--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.-
Hallo
da werde ich lesen und im Administrators Journal.
Übrigens ist kein einziges der „gelochten“ Programme open source.
Das ist allerdings interessant.
Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?
Diese Argumentation sehe ich regelmäßig nur bei denen, denen OSS ein Dorn im Auge ist (Ausnahme bestätigen die Regel). So ziemlich jedem, der programmiert, ist klar, dass dabei Fehler passieren, auch solche, die ewig und drei Tage unentdeckt bleiben. Das ist voll und ganz unabhängig davon, ob die Software OSS oder Closed Source Software (CSS) ist.
Der unbestreitbare Vorteil von OSS gegenüber CSS ist, dass die Software von jedem™️ geprüft werden kann. Wir wissen, dass das nicht jeder kann und will [1]. Wir wissen, dass auch dabei Fehler gemacht werden und dass vorhandene Bugs übersehen werden. Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre. Aber im Gegensatz zu CSS ist es zumindest möglich. Dort geht halt nur, was der Hersteller erlaubt [2].
Bis auf wenige, mit religiösem Eifer „gesegnete“ Adepten wird aber niemand aus dem OSS-Bereich behaupten, OSS wäre deshalb, weil sie OSS ist, per se fehlerfrei. Das ist Quatsch.
Tschö, Auge
--
Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
Hohle Köpfe von Terry Pratchett
-
Hallo,
So ziemlich jedem, der programmiert, ist klar, dass dabei Fehler passieren, auch solche, die ewig und drei Tage unentdeckt bleiben. Das ist voll und ganz unabhängig davon, ob die Software OSS oder Closed Source Software (CSS) ist.
volle Zustimmung. Und die Grunderkenntnis, dass von Menschen entwickelte Dinge nicht vollkommen sind, ist nicht aufs Programmieren beschränkt. Wo Menschen arbeiten, werden Fehler gemacht. Kein Mensch ist vollkommen, niemand ist unfehlbar[1].
Der unbestreitbare Vorteil von OSS gegenüber CSS ist, dass die Software von jedem™️ geprüft werden kann. Wir wissen, dass das nicht jeder kann und will. Wir wissen, dass auch dabei Fehler gemacht werden und dass vorhandene Bugs übersehen werden.
Oder dass beim Versuch, einen Fehler auszubessern, zwei neue dazukommen.
Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre. Aber im Gegensatz zu CSS ist es zumindest möglich. Dort geht halt nur, was der Hersteller erlaubt.
Naja, es gäbe da noch Reverse Engineering, was die Hersteller meist gar nicht gern sehen (was aber in der Industrie gängige Praxis ist). Und es gibt noch die Möglichkeit, ein System als Black Box zu testen[2] und so durch Dokumentation von Eingaben und den resultierenden Ausgaben Fehlerfälle zu finden (auch wenn man sie dann nicht beheben kann).
Live long and
proshealthy,
Martin--
Ich stamme aus Ironien, einem Land am sarkastischen Ozean.
Nein, auch nicht der eine, dem diese Eigenschaft traditionell zugesprochen wird. ↩︎
So soll Linus Torvalds ja sein Linux entwickelt haben: Nur durch Studium der verfügbaren Dokumentation der Schniitstellen von Unix und zahlreichen eigenen Testfällen, um dann das beobachtete Verhalten nachzuprogrammieren. ↩︎
-
Liebe Mitdenker, liebe Wissende, liebe Neugierige,
da werde ich lesen und im Administrators Journal.
Übrigens ist kein einziges der „gelochten“ Programme open source.
Das ist allerdings interessant.
Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?
Zumindest werden Fehler selbst in wichtigsten Modulen (siehe SSL) oft ziemlich lange nicht entdeckt und behoben, obwohl sie Open Source sind.
Muss man als Außenstehender auch erstmal durchsteigen durch ein Programm eines Anderen. Und der Leidensdruck, das zu wollen, muss auch vorhanden sein.
Spirituelle Grüße
Euer Robert--
Möge der Forumsgeist ewig leben!-
Hallo
Übrigens ist kein einziges der „gelochten“ Programme open source.
Das ist allerdings interessant.
Bedeutet aber leider trotzdem nicht, dass der Umkehrschluss erlaubt wäre.Welchen Umkehrschluss meinst du? Den, dass Open Source Software (OSS) fehlerfrei wäre, weil der Quellcode offen liegt?
Zumindest werden Fehler selbst in wichtigsten Modulen (siehe SSL) oft ziemlich lange nicht entdeckt und behoben, obwohl sie Open Source sind.
Ja, und? Das hatte ich in dem Teil, den du wegeditiert hast, schon geschrieben.
Wir wissen schließlich auch, dass es oft lange dauert, bis jemand ein Programm prüft. Oft halt auch mehrere Jahre.
Hervorhebung durch mich.
Tschö, Auge
--
Ein echtes Alchimistenlabor musste voll mit Glasgefäßen sein, die so aussahen, als wären sie beim öffentlichen Schluckaufwettbewerb der Glasbläsergilde entstanden.
Hohle Köpfe von Terry Pratchett-
Hello,
Hups,
Posting wegMist, muss wohl erstmal mein Tablet putzen :(
-
Hups, Posting weg
Also, wenn ich (Cookiefrei und auch sonst sehr privat) mal die Eingaben in in dieses Forum durch Schließen des falschen Tabs verliere kommt bei neuen Klicken auf
Antwort verfassenoderAntwort mit Zitat verfassenimmer die luxoriös anmutende Frage, ob ich denn vielleicht meine vorherigen Eingaben wieder herstellen will.Oft will ich...
-
Hello,
Hups, Posting weg
Also, wenn ich (Cookiefrei und auch sonst sehr privat) mal die Eingaben in in dieses Forum durch Schließen des falschen Tabs verliere kommt bei neuen Klicken auf
Antwort verfassenoderAntwort mit Zitat verfassenimmer die luxoriös anmutende Frage, ob ich denn vielleicht meine vorherigen Eingaben wieder herstellen will.Oft will ich...
Dax hat er (@Christian Kruse) auch fein gebaut ;-)
Schlecht nur, wenn das Touchpad wegen Dreckspritzern gerade macht, was es will ;-(
Glück Auf
Tom vom Berg--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.-
Schlecht nur, wenn das Touchpad wegen Dreckspritzern gerade macht, was es will ;-(
Einerseits machst Du wegen dem großen C gerade einen Haufen Aufstand, aber dann:
- Irgendwas anfassen.
- Auf dem Touchpad herumfummeln.
- Hände waschen und desinfizieren.
- Auf dem Touchpad herumfummeln.
- An der Nase klatzen...
-
-
-
-
-
-
-
-
-
-
-
-
-