Ein paar Lesetipps zum Wochenanfang
Aus Zeitmangel muss der "Standpunkt" diese Woche sehr kurz ausfallen, im wesentlichen gibt es daher ein paar Lesetipps:
Neues zur IE-0-Day-Schwachstelle
Es gibt zwei Neuigkeiten zur aktuellen 0-Day-Schwachstelle im Internet Explorer: Peter Van Eeckhoutte hat zur Veröffentlichung der von ihm entdeckten Schwachstelle Stellung genommen und ausdrücklich klar gestellt, dass zwar einige Details veröffentlicht wurden, aber kein Exploit. Und auch wenn es bisher keine offizielle Stellungnahme von Microsoft gibt, wurde zumindest indirekt bestätigt, dass es einen Patch geben wird. Gegenüber Threatpost haben Microsoft-Offizielle bekannt gegeben, dass man von der Schwachstelle weiß (was schon im Advisory der ZDI steht) und an einem Patch arbeitet. Wann der veröffentlicht wird, ist weiterhin nicht bekannt.
Die NSA kocht auch nur mit Wasser
Bruce Schneier stellt fest, dass die NSA auch nur mit Wasser kocht, aber dafür mehr Geld zur Verfügung hat als andere: "The NSA is Not Made of Magic". Seiner Schlussfolgerung kann ich nur zustimmen:
"That, fundamentally, is surprising. If you gave a super-secret Internet exploitation organization $10 billion annually, you'd expect some magic. And my guess is that there is some, around the edges, that has not become public yet. But that we haven't seen any yet is cause for optimism."
Die Frage ist nur, was bisher nicht bekannt geworden ist. Normalerweise veröffentlicht man sein Material ja schrittweise hin zu immer schlimmeren/schockierenderen/atemberaubenderen Fakten. Das "dicke Ende" wird irgendwann kommen. Und das könnte dann durchaus wie Magie wirken. Bis der Zaubertrick dahinter bekannt und die Magie entzaubert ist.
Schwachstellen melden oder horten?
Jedem vernünftig denkenden Menschen dürfte klar sein, dass entdeckte Schwachstellen gemeldet werden müssen, damit sie behoben werden können. Geheimdienste neigen dazu, Schwachstellen geheim zu halten und selbst auszunutzen - auch angesichts der Gefahr, dass diese Schwachstellen auch von Dritten entdeckt und ausgenutzt werden können. Bruce Schneier hat ein interessantes Essay zu diesem Thema geschrieben: "Disclosing vs. Hoarding Vulnerabilities".
Eine Technik, die der Erfinder jetzt wohl lieber nicht erfunden hätte
Joseph J. Atick, einer der Erfinder der Gesichtserkennung, hat festgestellt, dass seine Erfindung anders als von ihm gedacht verwendet wird: Dass Behörden damit Kriminelle fangen war vorgesehen. Das quasi jeder jeden überall damit überwachen bzw. erkennen kann ist nicht im Sinne des Erfinders. Tja, das hätte er sich früher überlegen müssen. Aber selbst wenn er die Gesichtserkennung nicht entwickelt hätte, hätte es jemand anders getan. Von daher: "Shit happens".
Eine Technik, die der Erfinder nicht mehr gut findet
Fernando Corbato, der als Erfinder das Passworts als Methode zum Einloggen in einen Computer gilt, ist mit seiner Erfindung gar nicht mehr zufrieden: "Unfortunately it’s become kind of a nightmare". Ein Passwort für einen Rechner ist gut, ein paar Passwörter für ein paar Rechner gehen auch noch in Ordnung, aber angesichts der vielen Accounts, die man heutzutage besitzt, muss man sich viel zu viele Passwörter merken. Was dazu führt, dass Passwörter mehrfach verwendet und/oder unsicher gewählt werden. Aber wenn man bedenkt, dass die Passwörter laut Fernando Corbato eigentlich gar nicht wirklich vor bösartigen Angriffen schützen sollen, haben sie sich erstaunlich lange erstaunlich gut gehalten.
Trackbacks