Hat roflgrins seinen Führerschein vielleicht schon bald umsonst gemacht?

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • ^this. Früher gab es keine Verbindung von Navi/Infotainment zum Lenkrad. Mit automatischen Einparkhilfen gibt es die zwangsläufig.
      I am in extraordinary shape, but I do not think I could survive a bullet in the head.
    • watnuss schrieb:

      Weiß nicht was du mit nem RSA Angriff auf Lockheed meinst eagle aber ich bin schon aktiv am Lesen was so Sicherheitsbla angeht und mir ist kein funktionierender Angriff auf RSA bekannt. Da wurde höchstens auf anderen Wegen auf deren private key zugegriffen. Was anderes kann ich mir gerade nicht vorstellen.


      Naja dann verfolgst du die Szene wohl noch nicht solange oder nicht so effektiv - no offense ;-) Aber RSA hatte 2011 einen kompletten Tokenaustausch durchführen lassen/müssen mit über 40 Millionen Tokens, weil durch den Hackangriff kein Unternehmen mehr 100% sicher war. Hier mal ein paar Infos zum damaligen Fall:
      heise.de/security/meldung/RSA-…D-Tokens-aus-1256298.html

      Natürlich wird niemals ein Netzwerk 100% sicher sein. Die Frage ist aber langfristig, wann gibt es endlich eine Regelung von den Regierungen, um Druck auf die Unternehmen auszuüben? Weil am Ende ist die Privatperson der Leittragende, welchem seine Daten geklaut werden oder am Ende sogar sein Auto kontrolliert werden kann. Ich finde die Regierungen üben zuwenig Druck aus und aus diesem Grund wird die kostspielige Security gerne mal vernachlässigt, weil man den Vorteil nicht direkt greifbar hat wie z. B. bei schnelleren und hochperformanten Routern und nicht bereit ist dafür unmengen an Geld zu investieren.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Eaglepower89 ()

      "The only time success comes before work is in the dictionary"
    • Technik fürs Auto ist doch schon in Serienreife.
      Ist nur immernoch einfacher n Kabel durchzuschneiden als dich reinzuhacken.

      Ich mein, die wenigstens hacken sich ins Auto ihrer Frau, weil sie fremdgegangen ist.
      Für den 0815 Bürger ist deswegen die Gefahr eigentlich kaum größer als normal.

      Geht denk eher um polit. wichtige Ziele.
      "I'd only suggest that you try to understand other people. Try to learn empathy"
    • watnuss schrieb:

      Bei Flugzeugen gibt es halt Richtlinien, wie die Software geschrieben wird. Das ist ein sehr sehr aufwändiger Prozess. Deswegen gibts dort auch wesentlich weniger Ausfälle. Außerdem sind die Kernsysteme z.B. nicht mit den Mediensystemen verbunden. Anders als im Auto.
      Prinzipiell stimmt deine Aussage trotzdem, möchte aber hierauf verweisen: Sicherheitsexperte soll Flugzeuge gehackt haben und wird angeklagt

      Vernehmungsprotokollen zufolge soll Roberts eingeräumt haben, in den Jahren 2011 bis 2014 bereits 15 bis 20 Mal in die Entertainment-Systeme eingedrungen zu sein. Von da aus soll es ihm auch möglich gewesen sein, zu den kritischeren Modulen vorzudringen. So sei er an einem Punkt gewesen, an dem er dem Triebwerk ein "CLB"-Kommando geben konnte, das die Maschine dazu gebracht habe, weiter aufzusteigen. Die Folge war, dass das Flugzeug in Schräglage ging.
    • eagles schrieb:

      watnuss schrieb:

      Weiß nicht was du mit nem RSA Angriff auf Lockheed meinst eagle aber ich bin schon aktiv am Lesen was so Sicherheitsbla angeht und mir ist kein funktionierender Angriff auf RSA bekannt. Da wurde höchstens auf anderen Wegen auf deren private key zugegriffen. Was anderes kann ich mir gerade nicht vorstellen.


      Naja dann verfolgst du die Szene wohl noch nicht solange oder nicht so effektiv - no offense ;-) Aber RSA hatte 2011 einen kompletten Tokenaustausch durchführen lassen/müssen mit über 40 Millionen Tokens, weil durch den Hackangriff kein Unternehmen mehr 100% sicher war. Hier mal ein paar Infos zum damaligen Fall:
      heise.de/security/meldung/RSA-…D-Tokens-aus-1256298.html

      Natürlich wird niemals ein Netzwerk 100% sicher sein. Die Frage ist aber langfristig, wann gibt es endlich eine Regelung von den Regierungen, um Druck auf die Unternehmen auszuüben? Weil am Ende ist die Privatperson der Leittragende, welchem seine Daten geklaut werden oder am Ende sogar sein Auto kontrolliert werden kann. Ich finde die Regierungen üben zuwenig Druck aus und aus diesem Grund wird die kostspielige Security gerne mal vernachlässigt, weil man den Vorteil nicht direkt greifbar hat wie z. B. bei schnelleren und hochperformanten Routern und nicht bereit ist dafür unmengen an Geld zu investieren.


      Okay das meinst du mit RSA. Es gibt die bewährte asymmetrische Verschlüssenlung en.wikipedia.org/wiki/RSA_%28cryptosystem%29 und eine Firma die für große Firmen Krypto als Dienstleistung macht en.wikipedia.org/wiki/RSA_Security .

      Ich kenn mich in dem Bereich schon gut aus. Die Firma is Müll hoch zehn. Keiner der Ahnung hat, würde sich Krypto von der Firma oder irgend ner anderen Firma machen lassen, deren Implementierungen der Krypto nicht OpenSource ist. Wenn du nur von RSA hat ne Lücke schreibst, geht man da normal von der asymmetrischen Verschlüsselung aus anstatt von ner speziellen Firma. Bei deinem konkreten Beispiel hab ich jetzt leider nicht an die Firma gedacht. War mir aber bekannt, dass die ein Angriffsziel war in der Vergangenheit. Ist für mich halt eher nicht relevant gewesen als ich das damals gelesen hab, weil ich mir da nur denke: Wer von ner Firma closed soruce Krypto nutzt hat es nicht anders verdient.

      @Ramius
      Man weiß halt nichts genaueres: heise.de/tp/artikel/44/44953/1.html

      Ich weiß nur, dass bei Airbus auf jeden Fall ne physische Trennung zwischen Bordsystemen und Flugsystemen existiert. Hatte nämlich mit nem Softwareentwickler von Airbus gesprochen und glaub einfach mal, dass er da nicht gelogen hat, zumal das keine Frage von mir war, sondern er es so erzählte, als er n bissl was über die Systeme bzw. wie Software für Flugzeuge geschrieben wird, erzählt hat. Im obigen Fall geht es aber konkret um ne Boeing. Da hätte ich jetzt vermutet, dass das ähnlich ist, aber wissen kann ichs nicht.
      There are 10 types of people - those who understand binary, and those who don't.

      Beitrag von calcu ()

      Dieser Beitrag wurde vom Autor gelöscht ().
    • watnuss schrieb:

      Ich kenn mich in dem Bereich schon gut aus. Die Firma is Müll hoch zehn. Keiner der Ahnung hat, würde sich Krypto von der Firma oder irgend ner anderen Firma machen lassen, deren Implementierungen der Krypto nicht OpenSource ist. Wenn du nur von RSA hat ne Lücke schreibst, geht man da normal von der asymmetrischen Verschlüsselung aus anstatt von ner speziellen Firma. Bei deinem konkreten Beispiel hab ich jetzt leider nicht an die Firma gedacht. War mir aber bekannt, dass die ein Angriffsziel war in der Vergangenheit. Ist für mich halt eher nicht relevant gewesen als ich das damals gelesen hab, weil ich mir da nur denke: Wer von ner Firma closed soruce Krypto nutzt hat es nicht anders verdient.


      ganz ehrlich willst du mich veräppeln? RSA ist der Marktführer mit mehr als 70% Marktanteil im Bereich der 2 Faktor / 3 Faktor Token Verschlüsselung. Die meisten Großunternehmen vertrauen auf die Verschlüsselung, weil es mit die am sichersten Lösung ist in dem Bereich. Die Token sind nicht müll, das Unternehmen ist nicht müll und die Firmen, welche die Hardware kaufen sind auch nicht müll. Ja, das Unternehmen wurde geknackt, aber wie bereits vorher erwähnt, liegt es eher daran, dass aktuell kein Unternehmen / System sicher gegen gezielte Attacken von Cyberkriminellen ist. Nur eine Frage der Zeit und des Aufwands bis ein Schlupfloch in der Mauer gefunden wird.
      "The only time success comes before work is in the dictionary"
    • Ich hab auch in ner Firma gearbeitet, die das genutzt hat und die es hätte besser wissen können. Ich sag nicht, dass es keine Businessentscheidungen gibt die das rechtfertigen. Aber rein von technischer Seite wird dir jeder Kryptoexperte davon abraten eine Lösung in der Form zu nutzen.

      Es ist einfach günstiger für ne große Firma sich Security machen zu lassen. Die Sicherheit ist aber nicht prüfbar und damit nutzlos. Da wird hauptsächlich mit Vertrauen gearbeitet. Du hast n paar tolle Zertifizierungen aber jeder der mal selbst bei ner Zertifizierung in seiner Firma teilgenommen hat wird wissen, dass das eher aus PR-Gründen gemacht wird als dass sich tatsächlich mit den Themen auseinandergesetzt wird. (Gibt da bestimmt Ausnahmen. Aber die sind halt dann Ausnahmen)

      Du schreibst ja selber "Die meisten Großunternehmer VERTRAUEN auf die Verschlüsselung". Ja. Und ob es jetzt das beste kommerzielle Produkt ist oder nicht kann ich nicht beurteilen, weil ich nicht alle kenne, aber es gibt nichtkommerzielle bzw. OpenSource Lösungen, die wirklich sicher sind. Dann lieber ne Firma engagieren, die mir auf OpenSource Basis meine Krypto macht und wartet. Ist aber teurer, weil es halt ne individuellere Lösung ist.

      Es muss ja auch nicht alles military grade verschlüsselt sein. Deswegen ist es ja okay sich "so la la" Kryptolösungen zu holen. Deswegen werden deren Produkte ja auch gerne genutzt. Wenn ich aber sage, dass die Lösung Müll ist, mein ich dass das dennoch stimmt. Denn ich hab eine Lösung die auf Vertrauen beruht und nicht auf Überprüfbarkeit.

      Edit: Und zu den "gezielten Cyberangriffen" wurde hier denk ich schon genug gesagt. Das ist PR um den Schaden, wenn ein Einbruch festgestellt wurde, zu minimieren. Als Argument würd ich das nicht verwenden.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Walnuss (die Echte) ()

      There are 10 types of people - those who understand binary, and those who don't.
    • Wenn ich ein externes Unternehmen benötige, beruht alles auf Vertrauen. Ob ich mir Security Haus XY mir eine eigene Lösung bastelt oder ich eine kommerzielle vom Marktführer nutze, macht erstmal keinen Unterschied. Ich würde eher dem Marktführer vertrauen, weil hier die Risiken überschaubar sind und ich auch eine bestimmte Qualität erwarten kann und wenn was passiert wäre der Marketing Schaden für das Unternehmen immens. Siehe Rückrufaktion. Bei einem kleinen Hersteller, welches eigene Lösung erstellt, hast du hier überhaupt keine Absicherung. Darüber hinaus ist die Lösung von RSA genauso Wasserdicht wie bei anderen. Die zwei oder auch drei Faktor Authentifizierung ist einwandfrei und sicher. Die Token sind super Wiederstandsfähig und erfüllen ihr zweck. Jetzt kommt nur die Frage, was passiert wenn die Produktionspläne beim Hersteller entwendet werden und daher die Token nicht mehr sicher sind. Da vertraue ich doch auch wieder lieber einem Großunternehmen als einer kleinen Softwarebude um die Ecke, die kein Geld für solche Maßnahmen hat, weil wie wir wissen ist Security teuer auch für Security Unternehmen, denn die größte Gefahr sind nicht die Hacker, sondern die Personen im Unternehmen und da sind die Standards bei Großbetrieben viel höher.

      Und was willst du die ganze Zeit von Open-Source Lösungen? Hier weißt du direkt, dass es sich quasi um eine billiglösung handelt, weil die Leute sich auf eine Basis Software zurückgreifen und diese leicht modellieren. Da vertraue ich doch lieber Experten, welches ein eigenes System aufsetzen, welches nicht im Internet bekannt ist und welches selbstaufgesetzt ist, was ja oben sogar dein Argument war einen Spezialisten ins Haus zu holen, welches ein eigenes System aufsetzt??? Darüber hinaus reden wir hier immer noch von Token Security und nicht von irgendwelchen Firewalls. Es geht um Passwortsicherheit, wo man mit einem Token zusätzlich mit dem Passwort ein Code eingeben muss. Da nehmen sich die Hersteller eigentlich garnicht soviel außer was die Beschaffenheit anbelangt. Die Sicherheit ist im grunde erstmal bei allen gegeben, außer die Codes sind irgendwie hackbar
      "The only time success comes before work is in the dictionary"
    • Und was willst du die ganze Zeit von Open-Source Lösungen? Hier weißt du direkt, dass es sich quasi um eine billiglösung handelt

      Das ist falsch.
      Open Source ist zum einen von jedem überprüfbar, also transparent. Zum anderen hat open source überhaupt nichts mit Billiglösung zu tun, mich würde aber sehr interessieren, wie du zu dieser Einschätzung kommst.
      Ich bin nur hier weil Dotacontents!
    • henpara schrieb:

      Und was willst du die ganze Zeit von Open-Source Lösungen? Hier weißt du direkt, dass es sich quasi um eine billiglösung handelt

      Das ist falsch.
      Open Source ist zum einen von jedem überprüfbar, also transparent. Zum anderen hat open source überhaupt nichts mit Billiglösung zu tun, mich würde aber sehr interessieren, wie du zu dieser Einschätzung kommst.

      Du sagst es doch selber - es ist von jedem überprüfbar, - also auch für potentielle Hacker. Ungepatchte Versionen etc. können easy von hackern ausgenutzt werden und sie brauchen sich nicht mal die Mühe machen, um die Codes zu stehlen und die Lücken zu finden. Wie bereits erwähnt gibt es bei Netzwerklösungen meist irgendwelche Lücken, weshalb auch immer wieder Patchen nachgeschoben werden, um Sicherheitslücken zu schließen. Wenn jetzt meine produkt Codes freizugänglich sind, kann auf der einen Seite zwar jeder es kontrollieren, aber auch einfach ausgenutzt werden.

      Versteh mich nicht falsch, ich finde open souce lösungen nicht grundsätzlich schlecht, aber sie sind sicherlich nicht besser als von expertenerstellte Eigenlösungen. Vielleicht vergleichbar, aber nicht besser und das war die Aussage von Watnuss.
      "The only time success comes before work is in the dictionary"
    • Lieber ne überprüfbare sichere Lösung (=Open Source) als security through obscurity (=closed source)

      Ich hab es hier schonmal geschrieben. Die Sicherheit darf immer nur von der Wahl des Schlüssels und nie über das geheimbleiben des Algorithmus abhängen. Wer das nicht versteht oder zumindest glauben kann, mit dem möcht ich einfach nicht über das Thema diskutieren. Das is mir dann zu sehr Glaubensfrage als wissenschaftlicher Diskurs. Sorry : /

      Edit: Falls es dich interessiert eagle: en.wikipedia.org/wiki/Security_through_obscurity
      There are 10 types of people - those who understand binary, and those who don't.
    • lieber eine open source lösung als eine firma die sich 10 mille zustecken lässt um ein NSA-Backdoor einzubauen

      Spoiler anzeigen
      Am 20. Dezember 2013 gab Reuters aufgrund der Erkenntnisse aus den Snowden Dokumenten bekannt, dass die RSA Security Inc. 10 Millionen Dollar von der US-amerikanischen National Security Agency für die Einrichtung einer Krypto-Backdoor entgegengenommen habe
      Quelle
    • Cisco ist Marktführer in der Netzwerkbranche, andere namhafte Hersteller wie Fortinet, Paloalto, Blue Coat sind in der Firewallwelt von Bedeutung.
      Apple, Google, sind Marktführer im OS Markt.
      Microsoft, SAP auf der Applikationswelt.

      Was haben die alle gemeinsam? Keine Open Source Lösungen und du sagst jetzt diese Lösungen sind alle schlecht und bevorzugst andere? Okay.

      Der_XBerger schrieb:

      lieber eine open source lösung als eine firma die sich 10 mille zustecken lässt um ein NSA-Backdoor einzubauen

      Spoiler anzeigen
      Am 20. Dezember 2013 gab Reuters aufgrund der Erkenntnisse aus den Snowden Dokumenten bekannt, dass die RSA Security Inc. 10 Millionen Dollar von der US-amerikanischen National Security Agency für die Einrichtung einer Krypto-Backdoor entgegengenommen habe
      Quelle


      Ich sag dazu nur die Mutter aller Open Source Software Lösungen - Linux - soll es genauso eine backdoor Lösung von der NSA geben. Dasselbe trifft wohl auf 80% der Lösungen zu auch wo es nicht herausgekommen ist.

      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Eaglepower89 ()

      "The only time success comes before work is in the dictionary"
    • Jemand der mit IT arbeitet nutzt Linux/Unix als OS (zumindest die guten Leute. Versprech ich dir). Die Serverlandschaft besteht hauptsächlich aus Linuxkisten. Mit Echtzeit und HPC biste bei Linux besser aufgehoben. Bei Netzwerkausrüstern hast du zwar Recht, aber die typischen Probleme die du dort hast hängen stark mit der Kundenbindung und damit closed Source zusammen. SAP: Guter Joke. Ist gut zum Geldverdienen, ja =)

      Und nur weil in unserem System Closed Source mehr vertreten ist, heißt das noch lange nicht, dass das die besseren Lösungen sind. Kapitaleigner wollen nicht teilen. Deswegen wollen die kein Opensource. Das heißt nicht, dass deswegen die technisch bessere Lösung closed source ist. Das fehlt einfach die Kausalität.

      Edit: Angenommen es gibt unbekannte Backdoors in Linuxkernel. Dann hast du bei ihm immerhin die Möglichkeit diesen zu finden. Bei Microsoft weißt du es gibt ne Backdoor und kannst einfach nichts dagegen tun. Du machst also gerade unseren Punkt.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von Walnuss (die Echte) ()

      There are 10 types of people - those who understand binary, and those who don't.
    • Lass uns nicht über die NSA diskutieren, dass ist ein anderes Thema und die üben auch entsprechend Druck auf die Unternehmen auf. Man könnte fast auch sagen, dass es ein Qualitätsmerkmal ist, wenn sie es nicht auf eigenen Wegen schaffen an die Daten zu kommen.

      RSA ist aufjedenfall eine tolle Lösung und ich selber würde sie in meinem Unternehmen nutzen. Token sind sicher, Token sind stabil. Preis ist okay und außer dem einen Skandal, welchen sie aber gut gelöst haben, gab es keine Meldung dazu. Ob jetzt eine XYZ Lösung besser ist? Kann ich mir kaum vorstellen.

      Wir drehen uns auch im Kreis. Was ja einfach die Grundlage war, war was ganz anderes, dass Sicherheit schwierig ist zu gewährleisten und da sind wir uns wohl einig, dass es einfach schwierig ist wirklich sichere Lösungen zu machen und es immer eigentlich wichtiger wird, weil bald alles vernetzt sein wird.
      "The only time success comes before work is in the dictionary"
    • Naja du hast halt einfach andere Ansichten. Würde aber sagen, dass deine Argumente entkräftbar sind. Wir müssen das Prozedere aber nicht durchziehen. Bringt ja nix, wenn du nicht vor hast deinen Standpunkt zu ändern.

      Stimme dir zu das Sicherheit nicht nur schwierig sondern überhaupt nicht gewährleistbar ist. Stimme dir auch zu, dass je mehr Zeit man reinsteckt desto höher die Erfolgsaussichten sind irgendwo reinzukommen. Aber man kann vieles besser machen, da es heute schon Lösungen zu diversen Problemen gibt bzw. bessere Sicherheitskonzepte.
      There are 10 types of people - those who understand binary, and those who don't.
    • Kann watnuss' Argumentation nur unterstreichen.

      Den größten Marktanteil zu besitzen, macht dich übrigens auch nich automatisch zu dem "besten".
      Windows ist ja auch nicht das beste OS nur, weil es den größten Marktanteil hat.

      Und @eagles, es scheint mir du unterschätzt die Programmierer, die an OpenSource Projekten arbeiten um einiges.

      Es ist da eher ein bisschen Frage der Philosophie, wie man eben arbeiten möchte.
      Viele bevorzugen hier eben die GNU-Lizenz Variante.

      Ein Linus Trovalds ist bestimmt kein schlechterer Programmierer als Bill Gates oder Steve Jobs.
      "I'd only suggest that you try to understand other people. Try to learn empathy"