wie schnell man doch Lücken findet
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
wie schnell man doch Lücken findet
Fabebook hat einen Hack in Linux/Tails in Auftrag gegeben und prompt bekommen. Das ist alles legitim. Mich erstaunt nur wie das man so einfach einen Angriff finden konnte. Und da Tails auf Debian aufbaut.
https://www.heise.de/news/Facebook-gab- ... 81943.html
https://www.heise.de/news/Facebook-gab- ... 81943.html
Zuletzt geändert von inne am 15.06.2020 19:05:58, insgesamt 1-mal geändert.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: wie schnell man doch Lücken findet
Folgendes wird dich schockieren: heutige Soft- und auch Hardware ist dermaßen komplex, dass es höchst erstaunlich wäre, wenn sich bei einem System kein Fehler finden ließe.
… war’s trotzdem ein sehr auf Tails zugeschnittener Angriff. Was nicht heißt, dass es keine ausnutzbaren Lücken in einem Debiansystem geben wird, im Gegenteil (siehe oben). Nur hier ist’s halt irrelevant.
… war’s trotzdem ein sehr auf Tails zugeschnittener Angriff. Was nicht heißt, dass es keine ausnutzbaren Lücken in einem Debiansystem geben wird, im Gegenteil (siehe oben). Nur hier ist’s halt irrelevant.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Technisch im Sinne der ausgenutzen Software oder weil es um De Anonymisierung ging?
… war’s trotzdem ein sehr auf Tails zugeschnittener Angriff.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: wie schnell man doch Lücken findet
Das man sich da wundert, scheint mir auch etwas befremdlich.
Ich weiß auch nicht, warum man immer wieder davon ausgeht, Debian oder - weiter gefasst - Linux sei sicher.
Ein professioneller Angreifer kommt wahrscheinlich in jedes System.
Wir "Linuxer" haben halt den Vorteil, das wir Exoten sind, und sich niemand die Mühe machen wird, Maleware
für Linux zu entwickeln, die massenhaft verteilt wird.
Das Kosten / Nutzen Verhältnis ist einfach schlecht
Wie immer empfehle ich einmal wöchentlich einen Blick bei CERT-Bund vorbei zuwerfen, um sich "auf den Topf zu setzten"
https://www.cert-bund.de/overview/AdvisoryShort
Die Gretchenfrage ist ja die: Wie lange bestehen diese Lücken bereits ?
Werden alle Schwachstellen gemeldet? ---> Wahrscheinlich nicht
Wirklich sicher sind nur Brieftauben, solange sie nicht dressiert wurden,
bei irgendwelchen Schlapphüten Zwischenstation zu machen
Ich weiß auch nicht, warum man immer wieder davon ausgeht, Debian oder - weiter gefasst - Linux sei sicher.
Ein professioneller Angreifer kommt wahrscheinlich in jedes System.
Wir "Linuxer" haben halt den Vorteil, das wir Exoten sind, und sich niemand die Mühe machen wird, Maleware
für Linux zu entwickeln, die massenhaft verteilt wird.
Das Kosten / Nutzen Verhältnis ist einfach schlecht
Wie immer empfehle ich einmal wöchentlich einen Blick bei CERT-Bund vorbei zuwerfen, um sich "auf den Topf zu setzten"
https://www.cert-bund.de/overview/AdvisoryShort
Die Gretchenfrage ist ja die: Wie lange bestehen diese Lücken bereits ?
Werden alle Schwachstellen gemeldet? ---> Wahrscheinlich nicht
Wirklich sicher sind nur Brieftauben, solange sie nicht dressiert wurden,
bei irgendwelchen Schlapphüten Zwischenstation zu machen
Re: wie schnell man doch Lücken findet
Laut Facebook war die Lücke war im Debian schon gefixt (sonst hätte sie nicht in der Vorabversion von Tails drin sein können) und Facebook war schnell genug dazwischen zu gehen bevor das nach Tails wandert. In Sofern ist die Aussage von Vice, dass das ein zero-day war verwunderlich.
In Vice wird behauptet, dass die Lücke ohne das wissen der Entwickler gepatched wurde, was den Exploit laut Definition wirklich zu einem 0-Day machen würde. (Exploit existiert, bevor die Entwickler bescheid wissen. Entfernen sie die Lücke ohne darüber zu wissen ist es natürlich auch nach dem Patch ein 0-Day.) Aber das passt nicht zur Policy von debian nur Fehler-Patches einzuspielen und sonst keine Neuerungen einzuführen.
Einzige Erklärungen, wie das trotzdem passieren kann, die mir einfallen:
Die Wahrheit ist, das DOS ein paar Design Entscheidungen gemacht hat, die mit Sicherheit nicht zu vereinbaren sind und MS sich selten Getraut hat Gräben einzureißen und Kompatibilität kaputt zu schießen. Hat man mit Windows 2000 vieles richtig gemacht wurde erst bei Windows Vista und 8 hat man die DOS-Kompatibilität hart aufgegeben (sehr zum Leidwesen der Nutzer) und dann hat sich da vieles Geändert. Die Nutzung ist nicht zurück gegangen und die erfolgreichen Angriffe sinken. Die Hochzeiten für Malware war 95-XP wo Windows noch schön kompatibel zu DOS war aber massiv genutzt wurde.
Auf der anderen Seite sehen wir mit AppImage/Snap... und Systemd, dass viele der Konzepte, die Windows unsicher gemacht haben jetzt auch unter Linux einziehen. (Software ohne Qualitätskontrolle direkt vom Entwickler; viel Kommunikation mit Diensten, die als root/Admin laufen und vor allem: Autokonfiguration.) Alles Sachen die Entwickler lieben aber tödlich für Security sind.
Die Wahrheit ist denke ich eher Profi-Betriebsystem vs. möglichst bequem: Windows wird immer mehr zu nem Profi-OS weil die DAUS auf Android und iOS umsteigen. Deswegen traut sich MS immer mehr Schritte zu unternehmen, die Windows weniger "User-Friendly" aber sicherer machen. Während Linux immer massentauglicher gemacht wird – Und damit anfälliger wird.
In Vice wird behauptet, dass die Lücke ohne das wissen der Entwickler gepatched wurde, was den Exploit laut Definition wirklich zu einem 0-Day machen würde. (Exploit existiert, bevor die Entwickler bescheid wissen. Entfernen sie die Lücke ohne darüber zu wissen ist es natürlich auch nach dem Patch ein 0-Day.) Aber das passt nicht zur Policy von debian nur Fehler-Patches einzuspielen und sonst keine Neuerungen einzuführen.
Einzige Erklärungen, wie das trotzdem passieren kann, die mir einfallen:
- Die Lücke war im Firefox/Tor-Browser, der auch in Debian Feature-Updates bekommt.
- Es war kurz vor der Veröffentlichung von Tails 4.0. Und der Fix kam mit buster. Dann wäre die Lücke heute noch in Debian stretch. – Und das Vorgehen von Facebook wäre massiv verantwortungslos.
- Der Fix war wirklich in einem der Spezialteile von Tails. Kann ich mir aber nicht vorstellen. Abgesehen von den FF configs ändert sich nicht viel das ist ein Febian Live mit angepassten Logos und ein paar iptables regeln. Eine mögliche unsichere FF-Config könnte ja ebenfalls jemand anders haben und weiterhin betroffen sein.
Egal wie häufig das wiederholt wird: Es ist einfach absoluter Quatsch. Nur weil Windows seine Logos besser platziert dürfte der Marktanteil lächerlich sein. Alleine die Ganzen Plastikrouter und Küchengeräte auf denen überall Linux läuft dürfte die Anzahl der Windwos-Maschienen weit übertreffen. Da die meisten Server und Maschinen (inklusive Autos) auf Linux laufen sind sie auch die deutlich lohnenderen Angriffsziele. Und btw. auch die exposteren: Vor jedem Windows-PC steht meistens nochmal ne BSD oder Linux-Firewall. (Wobei ich bezweifle, dass die signifikant zur Sicherheit beitragen.) Während gerade Autos und Co. meist schlicht nen UMTS-Modem eingebaut haben und so direkt am Internet hängen.Wir "Linuxer" haben halt den Vorteil, das wir Exoten sind, und sich niemand die Mühe machen wird, Maleware
für Linux zu entwickeln, die massenhaft verteilt wird.
Die Wahrheit ist, das DOS ein paar Design Entscheidungen gemacht hat, die mit Sicherheit nicht zu vereinbaren sind und MS sich selten Getraut hat Gräben einzureißen und Kompatibilität kaputt zu schießen. Hat man mit Windows 2000 vieles richtig gemacht wurde erst bei Windows Vista und 8 hat man die DOS-Kompatibilität hart aufgegeben (sehr zum Leidwesen der Nutzer) und dann hat sich da vieles Geändert. Die Nutzung ist nicht zurück gegangen und die erfolgreichen Angriffe sinken. Die Hochzeiten für Malware war 95-XP wo Windows noch schön kompatibel zu DOS war aber massiv genutzt wurde.
Auf der anderen Seite sehen wir mit AppImage/Snap... und Systemd, dass viele der Konzepte, die Windows unsicher gemacht haben jetzt auch unter Linux einziehen. (Software ohne Qualitätskontrolle direkt vom Entwickler; viel Kommunikation mit Diensten, die als root/Admin laufen und vor allem: Autokonfiguration.) Alles Sachen die Entwickler lieben aber tödlich für Security sind.
Die Wahrheit ist denke ich eher Profi-Betriebsystem vs. möglichst bequem: Windows wird immer mehr zu nem Profi-OS weil die DAUS auf Android und iOS umsteigen. Deswegen traut sich MS immer mehr Schritte zu unternehmen, die Windows weniger "User-Friendly" aber sicherer machen. Während Linux immer massentauglicher gemacht wird – Und damit anfälliger wird.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 5525
- Registriert: 30.12.2004 15:31:07
- Wohnort: Wegberg
Re: wie schnell man doch Lücken findet
qwillyHallo
@wanne
Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ, außer du nutzt sie für andere lohnendere Angriffe, oder fürs mining. Wenb mein Router oder mein Pc gehackt würde, wäre der fin. Schaden sehr gering und würde mich nichtt kratzen (ärgerlich für die Bildr und PDF die ich im laufe der jahre gesammelt habe, aber es gibt schlimmeres als deren Verlust), bei Firmen oder Verwaltungen sähe das aber andres aus.
mfg
schwedenmann
@wanne
was auch wieder Quatsch ist, denn wenn man nur die Desktopsysteme rechnte, dann hat Linux, wie mac nix, aber auch gar nix zu melden. Wenn du dann noch siehst, das über die Desktops eben die malware ins system gelangt und eben nciht über die server, dann stimmt die die Ausage von @willy41711 natürlich, außerdem kommt noch hinzu, das in der überwiegenden Zahl von Firmen auch MS-Server inc. Outlook eingesetzt werden. Brauchst ja nur bestimmte Branchen (der ganze Krankenhauskompley, da läuft mit Sicherheit nirgendwo ein linux oder BSD) oder die komplette Verwaltung, alles Win-Desktops.Egal wie häufig das wiederholt wird: Es ist einfach absoluter Quatsch. Nur weil Windows seine Logos besser platziert dürfte der Marktanteil lächerlich sein.
Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ, außer du nutzt sie für andere lohnendere Angriffe, oder fürs mining. Wenb mein Router oder mein Pc gehackt würde, wäre der fin. Schaden sehr gering und würde mich nichtt kratzen (ärgerlich für die Bildr und PDF die ich im laufe der jahre gesammelt habe, aber es gibt schlimmeres als deren Verlust), bei Firmen oder Verwaltungen sähe das aber andres aus.
mfg
schwedenmann
Re: wie schnell man doch Lücken findet
Warum?! Server sind Tag und Nacht von überall aus der Welt aus erreichbar und müssen mit jedem dahergelaufen reden während Desktops erst mal mit dir auf die Art reden wollen müssen. Sind also deutlich einfacher anzugreifen. Sie beheimaten meist hundert mal wertvollere Daten. Was glaubst du was bringt mehr Geld ein Einbruch bei Amazon oder Google oder einer auf deinem PC? Warum kommt die Malware dann über den PC? WEIL DA EINFACHER REIN ZU KOMMEN IST. Es gibt keinen anderen Grund warum das so ist. Du darfst hier nicht Ursache und Wirkung verdrehenschwedenmann hat geschrieben:15.06.2020 19:51:34Wenn du dann noch siehst, das über die Desktops eben die malware ins system gelangt und eben nciht über die server,
Was dänkst du wo ist der Schaden größer? Wenn jemand bei Google dein PC nicht mehr läuft oder wenn bei GE die Bänder stehen?! Ich würde mal tippen schon wenn dein Auto gegen den Nächsten Baum fährt ist der Schaden um Größenordnungen anders wie wenn dein PC nicht mehr läuft. Und da läuft mit sehr hoher Wahrscheinlichkeit Linux. (Zumindest wenn es ein deutscher Hersteller ist, wäre ich mir da zu 100% sicher für andere wird es ähnlich aussehen.) Und oft genug hängt das mittlerweile btw. auch am Internet.Klar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ
Wie gesagt sowohl in Masse (dank der IoT-Geräte) wie auch an Wert (dank der ganzen Server und Industriemaschinen) übersteigen die derer von
Oh doch das ist fast alles BSD Nur wo ein Display mit mehr als 800p dran hängt läuft oft Windows. Ausgenommen X-ray und CT. Da ist praktisch immer Linux am Werkeln.Brauchst ja nur bestimmte Branchen (der ganze Krankenhauskompley, da läuft mit Sicherheit nirgendwo ein linux oder BSD)
Ja. Und das ist der absolut einzige Bereich.oder die komplette Verwaltung,
mfgKlar kannst du Router und iot-Geräte mit Linux angreifen und kapern, ist aber nciht besonders lunkrativ, außer du nutzt sie für andere lohnendere Angriffe, oder fürs mining. Wenb mein Router oder mein Pc gehackt würde, wäre der fin. Schaden sehr gering und würde mich nichtt kratzen (ärgerlich für die Bildr und PDF die ich im laufe der jahre gesammelt habe, aber es gibt schlimmeres als deren Verlust), bei Firmen oder Verwaltungen sähe das aber andres aus.
schwedenmann
[/quote]
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
In Debian stable sind 0-Days eh lohenswerter zu suchen, weil man davon ausgehen kann, diese länger Lauffähig an den Mann zu bringen (IMO) - also verkaufen? Weil der Code sich nicht so schnell ändert? Nur wie groß ist halt die Verbreitung von Debian - das kann ich nicht sagen. Ich kenne zumindest einen Angriff änhlich wie im Link oben - wobei ich mal schauen müsste, ob der in Buster mitlerweile gefixed ist, weil bekannt ist der. Aber lange Zeit war er dennoch nicht gefixed.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: wie schnell man doch Lücken findet
Kannst du den bitte an den passenden Maintainer melden! Wenn dir englisch nicht so liegt, dann gerne auch hier an mich.
Nein.In Debian stable sind 0-Days eh lohenswerter zu suchen, weil man davon ausgehen kann, diese länger Lauffähig an den Mann zu bringen (IMO) - also verkaufen?
Im Normalfall fixt sich ein Lücke nicht von alleine. Im Normalfall wird eher Code hinzugefügt und nicht entfernt. Wenn du also eine Lücke in einer neueren Version findest, kannst du sie später ja trotzdem in Stable verwenden. Auf der anderen Seite: Wenn du eine 0-day Lücke findest, die in stable ist, ist sie auch in jeder neueren Version. In sofern unterscheidet sich der Wert nicht großartig.
Die aller meisten gucken eher auf neuen Code weil in dem weniger andere gesucht haben. Und entsprechend das finden einfacher ist. Die meisten Lücken schaffen es nie nach stable. Da sind also schlicht weniger. Auf der anderen Seite ist der Code natürlich besser überwacht und du hast dann ein größeres Risiko, dass die Lücke noch ein zweiter findet und an die Entwickler meldet. In sofern sind alte Lücken schon wertvoller aber eben nur weil es da weniger zu finden gibt.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Danke für den Blickwinkel (Der wohl eher aus der Praxis stammt),
Wegen dem Bug, da meinte ich den im vim (vlt. kannst Du dir dann schon denken welchen ich meine - Mit dem Steuerkommentar) und Fefe hatte dann auch ein Beispiel mit geliefert. Ich suche den nachher mal raus - denn jetzt auf ad-hoc finde ich den Blogeintrag von Fefe dazu nicht wieder und gesammelt habe ich den nicht.(
(Ja und der mag nicht so das Ding gewesen sein^^)
Das stimmt natürlich. Aber das ist immer darauf begründet, das der zweite den Bug dann auch bekannt gibt (schreibst Du ja selbst). Aber es gibt bei den Projekten wie Mozilla, Google, Microsoft wohl auch Finderlohn, genau deswegen.Auf der anderen Seite ist der Code natürlich besser überwacht und du hast dann ein größeres Risiko dass die Lücke noch ein zweiter findet und an die Entwickler meldet.
Wegen dem Bug, da meinte ich den im vim (vlt. kannst Du dir dann schon denken welchen ich meine - Mit dem Steuerkommentar) und Fefe hatte dann auch ein Beispiel mit geliefert. Ich suche den nachher mal raus - denn jetzt auf ad-hoc finde ich den Blogeintrag von Fefe dazu nicht wieder und gesammelt habe ich den nicht.(
(Ja und der mag nicht so das Ding gewesen sein^^)
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Ich meine der hier wars: https://github.com/numirias/security/bl ... -neovim.md (https://blog.fefe.de/?ts=a20957d1)
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
- OrangeJuice
- Beiträge: 616
- Registriert: 12.06.2017 15:12:40
Re: wie schnell man doch Lücken findet
Die Lücke schlummerte auch schon länger.In bestimmten Szenarien setzt GnuTLS Schlüssel auf Null. Das führt dazu, dass sich bei TLS 1.2 aufgezeichnete Sitzungsdaten nachträglich entschlüsseln lassen. Beim aktuellen TLS 1.3 könnte sich ein Man-in-the-Middle in die Verbindung einklinken, um Daten mitzulesen.
...
Zwei Jahre unentdeckt
Dieser Fehler (CVE-2020-13777) betrifft alle GnuTLS-Versionen seit 3.6.4, das bereits 2018 veröffentlicht wurde; erst GnuTLS 3.6.14 beseitigt ihn. Die Entwickler empfehlen ein schnelles Upgrade. Ein wenig entschärft wird die Situation lediglich dadurch, dass standardmäßig nicht viele Programme die Bibliothek GnuTLS standardmäßig benutzen. Die prominentesten dürften Exim und Dovecot auf Debian sein. Wer also Debian einsetzt, sollte sein System schleunigst checken.
heise.de
Re: wie schnell man doch Lücken findet
Gefunden: 2019-06-04inne hat geschrieben:16.06.2020 14:46:04Ich meine der hier wars: https://github.com/numirias/security/bl ... -neovim.md (https://blog.fefe.de/?ts=a20957d1)
Bei Fefe: 2019-06-05
Offiziell bei CVE eingegnangen: 2019-06-05
Buster-amd64-patch: 2019-06-15
Stretch-amd64-patch: 2019-06-22 arm ein Tag vorher.
Jessie-amd64-patch: 2019-08-03
Das ist jetzt bei weitem keine Glanzleistung. Aber wenn man bei Stable ist waren es 11 Tage oldstable 18. Lange Zeit finde ich übertrieben.
Ansonsten wird vor eventuellen Sicherheitsproblemen von modlines in der Vim-Doku gewarnt. Bei mir sind die aus. Ich glaube das ist deswegen auch per default aus. (Hat jemand was neu installiertes mit defult configs?) Trotzdem soll das natürlich gar nicht. Dass in der Doku steht, dass die software eventuell Sicherheitslücken haben könnte nutzt dem Nutzer wenig und das ist absolutes Worst Case, was da passieren kann und ich meine vim hat schon öfter solche Probleme gehabt.
Nicht so gaaanz lange. In jessie und stretch ist sie nie rein gekommen. Das meine ich mit die meisten Bugs schaffen es nie in langsamere Distros. Lediglich Buster-User hatten Probleme. – Esseiden man hat Session-Tickets abgeschaltet. War mit schon immer suspekt...Die Lücke schlummerte auch schon länger.
Aber da war die Reaktion schnell: Gefunden 2020-06-03 gepatched 2020-06-06 – 3 Tage. Aber drin war sie natürlich seit Buster raus kam. Das kam am 6. Juli 2019 raus.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Ok Asche über mein Haupt sognau habe ich das nicht gemessen, aber ich meine unter Debian ging das damals noch, wo es unter Ubuntu schon nicht funktionierte (Vlt ist dort auch nur modeline=0 der default). Aber mich kann meine Erinnerung da auch täuschen. 11 Tage, ich hätte es viel Länger geschätzt aus meiner Erinnerungwanne hat geschrieben:16.06.2020 17:11:19Das ist jetzt bei weitem keine Glanzleistung. Aber wenn man bei Stable ist waren es 11 Tage oldstable 18. Lange Zeit finde ich übertrieben.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
-
- Beiträge: 196
- Registriert: 11.03.2018 23:09:05
Re: wie schnell man doch Lücken findet
Ich meine, da waren zu 50 % menschliches Versagen seitens des Sexualstraftäters dabei. Es handelte sich neben dem Ausnutzen einer Sicherheitslücke auch um "social-engineering". Das FBI hat das Überlegenheitsgefühl des Täters zum Opfer ausgenutzt. Der Täter hat eine riesige Datei, die ihm objektiv gesehen ein Kontrahent zugeschickt hat (das Opfer), auf einem PC mit Internetanschluss geöffnet, anstatt diese Datei offline in einer VM mindestens ohne virtuelle Netzwerkkarte zu öffnen. Das war vor dem Hintergrund des ihm drohenden Strafmaßes ziehmlich riskantes Verhalten, was aber wiederum typisch für solche Täter ist, die sich zudem überlegen fühlen. Dass in dem präparierten Video ein Exploit eigearbeitet war, der imstande war aus einer VM u.a. ohne virtuelle Netzwerkarte auszubrechen und danach weitere Instruktionen auszuführen mag ich bezweifeln.
Andereseits müsste der Täter ja auch andere Sachen gemacht haben - außer der Benutzung von Tails - um seine Identität zu verschleiern. Denn wenn er auf Facebook aktiv war, müsste er sich dafür ja mehrmals dort eingeloggt haben. Dass man dann lediglich mit der Benutzung von Tails noch anonym ist kann ich nicht nachvollziehen.
Bezüglich des Designs von Tails frage ich mich, warum man nicht einen minimaleren Desktop als Gnome benutzt. Die Prioritäten für die Absicherung eines Sicherheits-OS liegen aus professioneller Sicht bestimmt woanders. Auch ist Tails ein Gemeinschaftsprojekt, bei welchem man andere wichtige Projekte mit einbeziehen möchte, um hierdurch wiederum synergetische Effekte hervorzurufen. Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.
Andereseits müsste der Täter ja auch andere Sachen gemacht haben - außer der Benutzung von Tails - um seine Identität zu verschleiern. Denn wenn er auf Facebook aktiv war, müsste er sich dafür ja mehrmals dort eingeloggt haben. Dass man dann lediglich mit der Benutzung von Tails noch anonym ist kann ich nicht nachvollziehen.
Bezüglich des Designs von Tails frage ich mich, warum man nicht einen minimaleren Desktop als Gnome benutzt. Die Prioritäten für die Absicherung eines Sicherheits-OS liegen aus professioneller Sicht bestimmt woanders. Auch ist Tails ein Gemeinschaftsprojekt, bei welchem man andere wichtige Projekte mit einbeziehen möchte, um hierdurch wiederum synergetische Effekte hervorzurufen. Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Ich fand/nahm an, dass die Tatsache das man ihn so "klassich" hacken musste, um ihn identifierzien zu können eher für Tails und Tor spricht. Da scheinbar alleine das Schattennetz hinter der sog. G-MAFIA das alleine doch nicht konnte.
Bestes Beispiel hier.Andererseits könnte die Reduzierung von Code zur Absicherung eines OS nicht unwesentlich beitragen.
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Re: wie schnell man doch Lücken findet
Zum Thema wie häufig sowas vor kommt man sieht ja wie häufig da Debian-Security am apt-get upgrade steht.
Im schnitt sind es so ~250 Lücken pro Jahr, die in Debian gefunden werden. Es gibt ~30000 Pakete Dafür dürfte ne Übliche Installation so ca. 3000 enthalten. Das wäre alle zwei Wochen eine.
Dummerweise sind die Pakete mit den meisten Lücken wie Imagemagic,openssl,kernel,pyhton,ruby auch die, die jeder hat. In sofern passt wohl eher 2 pro Woche.
Aber ich bin mir absolut sicher, dass das mit dem alter der Pakete abnimmt. Klar, dass sind jetzt nur die gemeldeten und keine die Geheim gehalten werden. Ich sehe aber keinen Grund, warum das bei den geheim gefundenen anders laufen sollte.
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. Ich weiß nicht, wie der übliche Verdienst eines für den Schwarzmarkt Sicherheitslückensuchers aussieht. Aber ich tippe mal sa hat eher nicht mal einer gesucht sondern eher ein größeres Team, dass der Dienstleister da angeheuert hat.
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen. Am Ende müssen auch die auf guten willen und nicht Raffgierigkeit der Finder hoffen. Deswegen ist es so problematisch wenn Konzerne oder Staaten diese Unsummen für sowas ausgeben.
Bei solchen Summen wird vielleicht doch der ein oder andere Finder schwach und meldet sowas nicht. Und so sähen die Preise nicht aus, wenn nur gewöhnliche Krimminelle Sicherheitslücken kaufen würden.
Im schnitt sind es so ~250 Lücken pro Jahr, die in Debian gefunden werden. Es gibt ~30000 Pakete Dafür dürfte ne Übliche Installation so ca. 3000 enthalten. Das wäre alle zwei Wochen eine.
Dummerweise sind die Pakete mit den meisten Lücken wie Imagemagic,openssl,kernel,pyhton,ruby auch die, die jeder hat. In sofern passt wohl eher 2 pro Woche.
Aber ich bin mir absolut sicher, dass das mit dem alter der Pakete abnimmt. Klar, dass sind jetzt nur die gemeldeten und keine die Geheim gehalten werden. Ich sehe aber keinen Grund, warum das bei den geheim gefundenen anders laufen sollte.
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. Ich weiß nicht, wie der übliche Verdienst eines für den Schwarzmarkt Sicherheitslückensuchers aussieht. Aber ich tippe mal sa hat eher nicht mal einer gesucht sondern eher ein größeres Team, dass der Dienstleister da angeheuert hat.
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen. Am Ende müssen auch die auf guten willen und nicht Raffgierigkeit der Finder hoffen. Deswegen ist es so problematisch wenn Konzerne oder Staaten diese Unsummen für sowas ausgeben.
Bei solchen Summen wird vielleicht doch der ein oder andere Finder schwach und meldet sowas nicht. Und so sähen die Preise nicht aus, wenn nur gewöhnliche Krimminelle Sicherheitslücken kaufen würden.
rot: Moderator wanne spricht, default: User wanne spricht.
-
- Beiträge: 3273
- Registriert: 29.06.2013 17:32:10
- Lizenz eigener Beiträge: GNU General Public License
-
Kontaktdaten:
Re: wie schnell man doch Lücken findet
Das auf jedenfall ich meine man bewegt dich da im unteren 5 stelligen bereich wenn überhaupt. Und dann so meine ich gelesen zu haben, muss man auch schon sowas wie ein Root-Login oder Jailbreak haben. Bei Appel und Microsoft, gibt es aber diesen Finderlohn/Bug-Bounty-Programme - zumindest auf dem Papier, ob die dann im Fall auch wirklich Interesse zeigen.wanne hat geschrieben:17.06.2020 00:33:45[...]
Unseriöse Nutzer auf reddit meinen, das Facebook hat $1.8Mio für die Lücke gezahlt. [...]
Btw dürfte der Finderlohn den Projekten wohl eher in ner anderen Größenordnung liegen.
(Ich hätte Konzerne scheiben sollen^^ nicht den Projekte.)
(=_=)
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/
Unsere neue Mutter: https://www.nvidia.com/de-de/data-center/a100/