• Umgekehrt hatte ich einen Kunden gebeten, Unterlagen in Russland anzufordern.

      der Kunde baut Lüftungsanlagen auf 2 Flugzeugträgern, die gerade in Schottland gebaut werden. Für diese Lüftungskanäle liefer ich die Dichtungen.

      Bei der Anfrage forderte er, dass das Material der Dichtungen "kampstoffbeständig" sein muss. Ok, ich bat den Kunden, von Hn. Putin die Sicherheitsdatenblätter anzufordern.

      Hat er nicht geschickt, vermutlich nicht angefordert. Die Dichtungen aus PTFE (Teflon) liefer ich trotzdem.
      • Also unter der Hand wird wohl so manches geprüft und offen gelegt ...

        Glaube nicht, dass zB. Deutschland unkritisch und in heiklen Bereichen Win oder andere Software-Systeme einsetzt ohne je näher geprüft zu haben. Ob das jedoch die breite Öffentlichkeit weiß ...

        Oder liege ich mit meiner Vermutung völlig daneben? Das fände ich dann wieder ein starkes Stück ..
        • Den Code zu überprüfen halte ich für quasi unmöglich.

          Windows besteht aus 20 bis 30 Millionen Zeilen Code. Den müsstest du vollständig analysieren und verstehen, das ist in einer realistischen Zeit nicht zu machen, wenn überhaupt.

          Da irgendeine Funktion zu verstecken, die Dinge ausliest und weitergibt, ist überhaupt kein Problem. Gerade solche Dinge wie beispielsweise eine Datei auszulesen und zu versenden ist mit ein paar Zeilen erledigt.

          Du kannst da nur schauen, was die Software macht und die Hütte vernageln.

          Über zwei Ecken kenne ich eine Mathematikerin, die an einem Projekt zur Verschlüsselung von Funkverkehr im Militärbereich arbeitet. Das machen sie seit 10 Jahren und die abnehmenden Stellen sind mit der Überprüfung heillos überfordert.

          Wie soll das auch gehen? Die müssen ja mindestens dasselbe Wissen haben wie die Entwickler und dann könnten sie es auch gleich selber machen.
            • Nun ja - es geht ja nicht um Nachbauen sondern zu prüfen ob die verwendeten Tools auch "brav" sind.

              Die div. Mächte - und damit meine ich keine kleinen Regionalverwaltungsapparate - beschäftigen mit Sicherheit div. Experten, die Analysen anstellen können - zumindest ist das meine Vorstellung.

              Wenn die Top 5 der "Weltherrschaft" tatsächlich keine höheren Sicherheitsprüfungen haben als mittelständische Konzerne dann wäre dies für mich und sicherlich manch andere eine unerwartete Offenbarung.
              • Dann könnte man auch fehlerfreie Software schreiben.

                Natürlich überprüfen sie, aber ich halte es für ausgeschlossen, eine vollständige Überprüfung zu machen.

                Da blickt auch garantiert der Hersteller nicht mehr vollständig durch. Dinge, die einmal funktionieren, werden einfach aus einer alten Version übernommen, fertig. Aus Zeit- und Geldgründen geht das auch nicht anders.

                Aussenstehende meinen, dass Softwareentwicklung total straight abläuft, tatsächlich ist das nichts anderes als das ganz normale Chaos wie bei S21, Elbphilharmonie, Berliner Flughafen, …

                Ich habe mich mal mit der damaligen Leiterin der Softwareabteilung von Adobe für Flashbuilder unterhalten und sie gefragt: Warum sie das an Apache abgeben, ist ja von der Grundidee eine tolle Software. Sie hat es etwas anders ausgedrückt, aber gesagt: Weil wir es nicht mehr im Griff haben.

                Genauso ist es übrigens bei Phonegap -> Cordova, da hat Adobe auch den Löffel abgegeben.

                Was sollen das für tolle Leute sein, die das besser hinbekommen bzw. vollständig überprüfen können?
                • Das sehe ich von Berufs wegen anders

                  » [...] aber ich halte es für ausgeschlossen, eine
                  » vollständige Überprüfung zu machen.
                  »
                  » Da blickt auch garantiert der Hersteller nicht mehr vollständig durch.
                  » Dinge, die einmal funktionieren, werden einfach aus einer alten Version
                  » übernommen, fertig. Aus Zeit- und Geldgründen geht das auch nicht
                  » anders.

                  Bei uns in der Firma wird anders gearbeitet. Ist Software / Firmware "kritisch [wikipedia.org]" wird diese auch ordentlich programmiert und entsprechend (vollständig) geprüft (oder eben gleich in HW gegossen). Sonst gibt es auch keine Zulassung. Da gibt's auch keine selten Abkürzungen. Ich denke eher, dass in vielen (nicht militärischen) Bereichen an der Einschätzung der notwendigen Kritikalität mangelt. Was zu Hause funktioniert, kann man doch auch im Büro nutzen, oder? Doch das geforderte Offenlegen von Quellcodes ist IMHO der falsche Weg.
                  Gruß,
                  -tmb
                  ----------
          • Okay - anders gefragt - welche Tools werden in sensiblen Bereichen wie ...


            auf Regierungsebene (≠ gesamte Verwaltung), Militär, Nachrichtendienste etc. eingesetzt? Wenn das alles so ungeprüft in Funktion genommen wird und das Verstecken von paar Zeilen Code kein Problem ist - dann kann es doch auch kein Problem sein Daten und somit Informationen an Firewalls etc. vorbei zu schleusen - und sei es über in der Hardware versteckt verbauten Zusatzbauteilen, die undokumentierte Funktionen bieten.

            Soll keine Verschwörungstheorie sein bzw. eine SiFi-Darstellung der Gegenwart - aber _etwas_ mehr Vorsicht würde ich schon erwarten ...
            • Ich bin kein Sicherheitsexperte.

              Natürlich gibt es viele Tools zum Überprüfen von Software, aber:

              1. Müssen solche Tools auch erstmal programmiert werden und da stellt sich die Frage: Funktionieren sie zuverlässig?

              2. Um nach etwas zu suchen, muss man erstmal wissen wonach man sucht. Frei nach Ludwig Wittgenstein: "Warum hat die Rose keine Nase, weil man nicht weiss wo man da suchen soll."

              Wir sehen doch alle nach den Vorfällen der vergangenen Jahre, dass das nicht funktioniert und die Sachen noch viel trivialer sind, als ein Betriebssystem zu manipulieren: Da vergisst das amerikanische Militär bei ihren Drohnen die gesendeten Daten zu verschlüsseln, OpenSSL, was ja immerhin OpenSource ist, also jeder nachsehen kann, funktionierte über viele Jahre überhaupt nicht und so geht es lustig weiter.

              Jeder Entwickler weiss, dass das «normale» Fehler sind. Beim Entwickeln schaltet man SSL aus, weil es dann einfacher ist die Daten zu beobachten, gibt sich selber ein ganz schwaches Passwort, wenn überhaupt, weil das hundertmalige Eintippen des Passworts beim Testen der Software nervt, … und vergisst dann am Ende, das wieder rauszunehmen.

              Passwörter sind überhaupt so eine Sache: Da wird der Mitarbeiter alle paar Wochen genervt, ein neues Passwort einzugeben für seinen beschränkten Zugang und die Adminpasswörter sind der Brüller.

              Was man tuen sollte, weiss ich nicht. Aber es ist sicherlich nicht der richtige Weg, Sicherheit immer oben aufzuflanschen, als sich was zu überlegen, das Sicherheit die Basis ist. Deshalb glaube ich auch nicht, dass es die Kommunikations- und Datenaustauschwege von heute in ein paar Jahrzehnten noch geben wird.