[OT] Sicherheit durch proprietäre Betriebssysteme

[hitachi]

Hallo,
ich habe gerade diesen Artikel bei Spiegel Online gelesen.

Da steht, dass die Automaten besonders wegen proprietäre Betriebssysteme als sicher gelten. Soll das ein Witz sein? Ich habe schon auf so vielen Automaten Windoof laufen sehen (was zwar proprietär ist aber als Erfinder von Malware gilt;-) )... Gut ich kann mir vorstellen, dass man einige Hardware-Spezifikationen geheim halten will aber wenn so oder so Zugriff auf den Automaten bestehen muss (Weil dieser nur an ein eigenes Netzwerk angeschlossen ist / was ich nicht glaube, die werden doch mit vpn arbeiten oder so, ich habe auf jeden Fall noch nie gesehen, dass beim Bau einer neuen Filiale ein Kabel nach Frankfurt oder was weiß ich wohin verlegt wird) spielt doch das System absolut keine Rolle mehr. Oder sehe ich das Falsch?

Nur so OT

[schmidicom]

Also ich glaube schon das auch ein Windows nahezu unangreifbar werden kann, unter entsprechenden Umständen natürlich.

Aber egal wie sehr man versucht etwas geheim zu halten (Also wie ein Betriebssystem genau aufgebaut ist oder wie es mit der vorhanden Hardware aussieht) es muss immer Leute geben die Wissen wie es funktioniert (falls mal was kaputt ist und Support nötig wird) und da kann natürlich immer etwas durchsickern. Und sobald das passiert wird es sicher auch jemanden geben der einen Weg findet sich unerlaubt Zugang zu verschaffen.

Wo man wieder bei der Frage steht was ist schon wirklich Sicher.
_________________
Lenovo - ThinkPad P16s Gen 2 - 21K9CTO1WW

[schachti]

Security through obscurity ist ein zweischneidiges Schwert. Natürlich ist es schwerer, ein System anzugreifen, dass man nicht kennt. Auf der anderen Seite besteht die Gefahr, dass Sicherheitslücken unter Umständen nicht gefunden werden, die man finden würde, wenn das System öffentlich bekannt wäre. In manchen Fällen mag security through obscurity einen Angreifer abschrecken - aber dieses Prinzip macht eigentlich nur Sinn, wenn das System unabhängig davon sicher ist (wenn man zum Beispiel AES als sicheren Verschlüsselungsalgorithmus einsetzt und dessen Einsatz verschleiert).
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[ChrisJumper]

Die einzige Form vom Sicherheit, liegt meiner Meinung nach schon in der Offenlegung von dem Source-Code. Wie schachti schon andeutet ist Security throu obscurity ein zweischneidiges Schwert. Auf lange Sicht, wird das Fixen von Sicherheitslücken immer Problematischer. OpenSource versucht in meinen Augen immer wieder die Codebasis wenn möglich "klein zu halten" oder zu "Recyclen" daher ist der Code "wartungsfreundlicher" oder Aktueller als bei Closed Source. Windows finde ich noch nicht mal problematisch. Solange ein Support angeboten wird und Entwickler dahinter stehen lebt der Code noch und kann gepatched werden. Aber was passiert wenn das Unternehmen die Entwicklung einstellt? Die Firma verkauft wird und pleite geht etc... HeimPCs sind in meinen Augen nicht nur wegen der schlechten Administration so anfällig, sondern zum Teil auch weil dort Programme Installiert werden, die aber nie wieder ein Update oder einen Patch sehen. Irgendwann gibt es bekannte Exploids für z.B. den veralteten PDF-, Flashreader oder das Bildbetrachtungsprogramm, welches vom Betriebssystem aber nicht Upgedatet wird, und das war es dann mit der Sicherheit. Ich finde es schrecklich das Windows Anwender vorgegaukelt wird das man durch den Kauf von Firewall-, Antiviren- oder AntiSpy/Antimalwareprogrammen Sicherheit erreicht. Und eben nicht auf die wirklichen Übeltäter hinweist: Veraltete Software, Schlechte Benutzerrechteverwaltung, schwache Passwörter und Dienste die "Bequemer weise" laufen, obwohl man sie nicht braucht!

Ein anderer Punkt ist das, selbst wenn der Code nicht direkt in offener Form vorliegt, fällt er vielleicht doch dem ein oder anderen Cracker in die Hände. Somit entsteht ein Ungleichgewicht bei den "BösenJungs" gegenüber den "GutenJungs". Die Möglichkeiten des Reverse-Engineering, einmal aussen vorgelassen. "Security through obscurity" ist nie gut, wenn man es auf die Spitze Treibt und ein Mensch ein System entwickelt hat und nur er davon weiß, ist er je nachdem einer Verantwortung ausgesetzt. Die er alleine einfach nicht tragen kann. Nehmen wir mal an er arbeitet an einem Programm das Wissen im Wert von X Billionen schützen soll, dann liegt es auf der Hand das er für die Entwicklung viel Geld bekommt aber aus wirtschaftlicher Sicht nie mehr als das Projekt wert ist. Dann ist es nur eine Frage der Zeit bis er entweder sein Wissen ausnutzt oder er (oder seine Familie) Erpresst wird um das geheimes preiszugeben. Sinn macht dort nur die Verteilung auf mehrere Personen usw. idealerweise wie bei OpenSource, jeder der selber ein Sicheres System haben möchte kann und wird dafür sorgen und sein Wissen mit anderen zu teilen. Nur so kann man den Zeroday Exploids zuvor kommen. Vollkommene Sicherheit wird es aber nie geben.

Ich vermute das Banken sehr wohl ein gesondertes Netz von Leitungen haben, natürlich sind diverse Automaten via VPN und Co. an Knotenpunkte angeschlossen. Aber ich kann mir nicht vorstellen das die Achillesferse der gesamten Wirtschaft seine Transaktionen über das "normale Internet" versendet. "Kleinkram" wie bezahlen mit EC-Karte und eben auch Geldautomaten aber schon, wenn diese Technik nicht sicher wäre würde man das Onlinebanking auch komplett einstellen.

Ich musste letztens schmunzeln als ich vor einem Automaten stand, bei dem lediglich meine Kontonummer von meiner EC-Karte eingelesen werden sollte und es auch irgendeinem Physischen Grund wohl zu einem Lesefehler kam, woraufhin statt meiner Kontonummer ein String mit geschweiften Klammern, Semikolon und diversen Variablenbezeichnungen im Display erschien. Nach einiger Zeit hat sich das System gefangen und war wieder einsatzbereit.

P.s: Ich finde es auch immer wieder zum Schreien wenn jemand sein Windows absichern möchte, in dem er sich "aus illegalen Quellen" ein "professionelles" $NAMENHAFTES_SCHUTZPROGRAMM herunterlädt :)

[think4urs11]