Login
Newsletter
Werbung

Thema: Joanna Rutkowska verlässt Qubes OS

5 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von DieGesellschaftDerArkanoiden am Fr, 26. Oktober 2018 um 23:03 #

Wie man es dreht und wendet: sie kämpft gegen den Zustand der Massentechnologie.

Das die gute Frau längst in der traurigen Realität der Machbarkeit angekommen ist, zeigen ihre Vorträge u.a. zur Management Engine. Umso lobenswerter, dass sie sich der größtmöglichst vorstellenbaren Abnutzungsaufgabe der Sicherung von Cloud Computing widmen.

Wobei mir hier nicht kalr ist, wie ich ein einsturzgefährdetes Gebäude stabilisieren will, wenn ich im fünfen Stock Stahlstützen einziehe *hust*. Aber gut.

  • 0
    Von Verfluchtnochmal-05995bd7b am Sa, 27. Oktober 2018 um 03:03 #

    Aha, also besser gar nichts machen?
    Dafür bist du schon da

    0
    Von DriverDevel am So, 28. Oktober 2018 um 08:24 #

    > Wobei mir hier nicht kalr ist, wie ich ein einsturzgefährdetes Gebäude stabilisieren will, wenn ich im fünfen Stock Stahlstützen einziehe *hust*. Aber gut.

    Nicht alles, was hinkt, ist ein Vergleich.
    Aber gut. ;-)

    - für ein Gebäude ist mannigfaltiger Ersatz verfügbar (ist eins schlecht, so wähle ich ein gutes... äh... besseres)
    - bei einem Gebäude ist es mit überschaubarem Aufwand möglich, es komplett abzureißen und wieder neu (besser?) zu bauen

    [sofern es sich nicht um ein in seiner Nutzung stark spezialisiertes Spezial-Gebäude handelt]

    - ein Gebäude dürfte in seiner Komplexität um Größenordnungen geringer sein als umfangreiche Betrübssystem-Code-Umgebungen

    Generelle Aussage:
    Wenn man verschiedene Teilbereiche soweit analysiert/verbessert, dass es dort jeweils (fast) keine (Sicherheits-)Probleme mehr gibt, dann:
    - "ist fast vollständige Sicherheit erreicht" ("der Gebäudeeinsturz kann nur noch durch das Fundament ausgelöst werden")
    - ist eine Auslösung nur noch in den verbliebenen ungesicherten Teilbereichen möglich, also MUSS ein Angreifer dort seine Arbeit verrichten (und das kann entsprechend wesentlich schwieriger sein)

    Diese Analyse-Arbeit kann man fast als Sisyphos-Job sehen (hier jedoch hoffentlich mit durchaus lohnenswerten Ergebnissen).

    Zustimmung zur IME-Geschichte: da gab es bei mir schon an dem Tag, als ich diese Dinger erstmals unter Schreibtischen sah, ein vernehmbares Aufstöhnen.

    • 0
      Von DieGesellschaftDerArkanoiden am Mo, 29. Oktober 2018 um 00:15 #

      Nicht alles, was hinkt, ist ein Vergleich.

      Das ist richtig. Aber nenne mir einen Vergleich der keine Problembereiche hat. Dann bist du bei der Sache selbst und hast keinen.

      Es geht im Kern um die Aussage: solange die darunter liegenden Ebene aus Sicherheitaspekten vernachlässigt sind - und vor allem das Fundament nicht stabil ist - ist das zwar wichtige und notwendige Vorarbeit für das Ziel einer besseren Gesamtsicherheit, aber eine Sicherheit kann dadurch nicht erreicht werden, weil die Basis unsicher ist. Und unsicher, kannst du ausfüllen mit: schlechtem Entwurf, schlechter Programmierung und/oder gewollter Unterwanderung.

      Solange der Finger auf der Basis des Systems undemokratisch ist, also für uns nicht einseh- und prüfbar ist und fremdkontrolliert wird (z.B. IME/PSP/TrustZone), kann gar kein sicheres System entstehen. Wir können uns mühen wie wir wollen. Die Arbeit auf den darüber liegenden Ebene muss dennoch gemacht werden, denn es sind zusätzliche Einfallstore, um nicht von jedem mit begrenzten Mitteln übernommen zu werden. Daran arbeitet Joanna Rutkowska und das ist - wie gesagt - lobenswert.

      Um die - aus deiner Sicht schlechte ;-) - Analoge wieder aufzugreifen: Wir wissen noch nicht einmal, ob das Fundament stabil ist, stattdessen sitzt ein bewaffneter Wächter im Keller und stoppt dich, wenn du in deinem Haus nachschauen willst, ob es vermient ist.

      Zu dem Punkt Nichtspezial-Häuser könnten einfach abgerissen und neu gebaut werden: stimmt, aber warum sollte das nicht in der Hardware-Branche auch so sein können. Es zeigt doch nur, wie eingeschränkt frei der Markt der Massentechnologie ist. Wir haben uns lediglich in eine gefühlt undurchdringliche Pfadabhängigkeit begeben. Mehr Mut zu Alternativen sind nötig. Das Wissen ist da.

Pro-Linux
Traut euch!
Neue Nachrichten
Werbung