Frank Rieger
Genau.Interessant an dem an dem ganzen Dingen ist halt auch so die Art und Weise wie die da so arbeiten. Also die haben dann halt so richtig Releases,und ganz viel von dem Vicky dreht sich halt auch darum so,Wie kriegt man denn irgendwie was unter welcher Plattform zum Compeilen und welche welche Möglichkeiten hat man um diese oder eine DL zu Insekten und also halt so Techniken, um auf dem System,sich reinzubohren, festzusetzen und nicht entdeckt zu werden, dann gibt's auch so richtig lange Hauttoos mitwie sorgt man dafür, dass man sein Risiko entdeckt zu werden, minimiert, also welche Kryptoverwendet man und so, das hat so richtig so eine ja, also so ein, also eine Menge Leermaterial quasi auch so von,wo man sieht so, okay, das sind so ich würde mal schätzen in der großen Ordnung so hundert, zweihundert Leute so die da aktiv sind.Ist ja quasi funktioniert wie eine Firma, ja? Die haben halt so Produktlinien und die haben halt irgendwie an denen arbeiten halt ein paar Leute und die haben dann halt Relises und die müssen halt adaptiert werden und dannhaben sind, so haben sie genau dieses Problem, also normales Startup auch hat, nämlich so zwischen Projekt und Produkt zu differenzieren, beziehungsweise den Übergang dazwischen zu managen, so also wie viel muss ich da jetzt dann noch dran rumpatschen und für den Customer und so?Und die, also das Ganze unterscheidet sich jetzt nicht so sehr von dem, was eine.Also meine Security Research Bude ähm äh eine größere Macht,sie halt irgendwie versucht Dreck zu, also zu gucken, was passiert in der Öffentlichkeit, also welche Sachen an an neuen Reset Trailern passieren, welche neuen Tools werden released so, also welche ähm,ja, Werkzeuge, die man äh die man für Reverse Engineering verwenden kann oder die ähm das Leben hier und da einfacher machen, gibt es welche neuen Techniken sind entdeckt wordenman experimentierte, man probiert die aus so, dann beschaffen die sich halt irgendwie die Hardware. Da gibt's eine so eine, eine relativ lustige Geschichte da drin, dass nämlich die, die halt halt auch das Problem haben,ähm was auch Leute haben, die ein normales dafür Mobilität für Mobiltelefone entwickeln, dass die ja häufiger auch Sachen haben, die älter, also ältere Software.Und ähm iOS ähm Backgrade ist ja wird da zunehmend schwieriger. Muss dann immer Jaybacken und so und da halt irgendwie und ähm,haben aber die eiserne Regel, dass ihre äh Einbruchswerkzeuge immer getestet werden auf exakt derselben Hardware,mit der exakten Softwareversion, die des Tages hat.Ne, damit's nicht irgendwie irgendeine Chance gibt, dass es irgendwie crasht oder irgendwie die Platte voll läuft oder irgendein Unsinn passiert, der halt die Entdeckungswahrscheinlichkeit erhöht,Und das stellt sich natürlich für Probleme, weil die haben natürlich kriegen die teilweise nicht mehr ran oder so, da müssen die dann halt irgendwie komisch beschaffen so und dann gibt's da offensiv so eine getarnte Beschaffungsorganisation,dann halt den Kram einkaufen, weil der sieht keine schlechteste, ihre CIA-Karte hinlegen, ist ein bisschen schwierig so, ne,Sie müssen sich das halt irgendwie beschaffen so und ähm.Die äh deswegen müssen sie dann halt auch irgendwie, also dreht sich ein Teil dieser dieser Einträge dreht sich halt dann um im Inventory Keeping. Wer hat denn jetzt gerade welches Telefonzone?
Es ist hier ja besonders schön, dass Frank nicht nur Sprecher vom CCC ist, sondern auch als Geschäftsführer mit gutem Beispiel vorangehen kann und realitätsnah den Stand der Technik definieren sowie das Update-Versprechen umsetzen kann!
Guter Punkt. Was ist das MHD für ein Cryptophone? Wie lange gibt es da Sicherheitsupdates?
wenn dann zur obsoleszenz noch eine Verpflichtung kommt einen updatepfad am Ende für „externe“ / die Nutzenden aufzumachen, bzw. mind. die Schnittstellen offenzulegen, dann macht das auch Sinn. Dann könnte x nach 3 Jahren sich selber um updates bemühen, wenn die Firma das nicht tun will. Diese Pflicht schliesst konkurs gegangene Firmen oder Missestäter ein. Dazu müsste eventuell der Source/ die Schnittstelle dokumentiert an zentraler Stelle hinterlegt werden, und das wäre dann schon wieder ein saurer Apfel. In den ich beissen würd‘.
Warum gibt es keinen IT Anbieter für normale user in ganz Europa, der bei seinen Systemen erste Priorität auf Sicherheit legt. Das ist ja nicht nur eine Marktlücke, das ist der größte Marktplatz ever. Die Kompetzenz ist ja vorhanden. Warum passiert da so wenig. Ich hab ein wenig das Gefühl, ihr gefallt euch darin, durch die Welt zu laufen und Probleme zu erklären oder zu fixen, von denen ihr in der Lage wäret, sie gar nicht erst aufkommen zu lassen. Stelle ich mir das zu einfach vor? Bestimmt. Aber wäre die Richtung nicht die richtige?
Irgendetwas muss hier ja nicht ganz stimmen. LG und Samsung haben monatliche Updates – allerdings konnte ich das nicht hier nachvollziehen.
Entweder es kümmert sie nicht wegen zu geringer Nachfrage/Bedeutung oder es muss (gut gemeinte) regulatorische Hemmnisse geben wie z.B. eine mögliche externe Zertifizierung der Updates.
Wenn jemand hier sich auskennt: Danke für eventuelle Aufklärung darüber!
embedded development branch hat sich offensichtlich gekümmert:
„found configuration file and setting that manages automatic updates. […] added feature to prevent updates“
https://wikileaks.org/ciav7p1/cms/page_12353643.html
anfängerfehler sind bei so einer organisation nicht zu erwarten.
.~.
Ah, OK. Ich hätte erwartet, dass sie das dann schnellstmöglich patchen, damit niemand sonst kompromittieren kann. Wenn man da mal rüberscrollt, scheinen die eher zielorientiert/quick and dirty zu sein.
~1:08:25
bauen die Mikrofone an Stellen ein , wo du sie gar nicht mehr erwartest ..
wie siehts denn eigtl. insofern mit den Feuermelder aus ?
Immer wenn da sowas Verpflichtendes kommt, frag ich mich cui bono..
Und nach allem was so los ist, nehm ich ihnen die Geschichte mit dem rein fürsorglichen Aspekt nicht ab (klar, Konjunktur-Programm kommt auch noch dazu.. für China.. ) .
So ´n Feuermelder hat zwar wahrscheinlich kein Mikro verbaut, aber einen Lautsprecher, der ordentlich wumsen kann. naja.. bin da zwar kein Fachmann, aber ich hab selber schon anno dazumal mit meinen Kopfhörer zu MiniDisc Zeiten Lagerfeuerromantik aufgenommen.. Fragt sich nur, wenn das Ganze bis zu dem Teil auch mit der Membrane des Feuermelders gehen würde: bis wohin ? sind ja batteriebetrieben..
Von daher die Frage: Gibts Hardware-Techniken, wie man bsw. via Funk das gerät so triggert, dass es den Modus switcht und – prädestiniert für diesen Fall – zu einem Sender werden könnte ?
um die VT noch auf die Spitze zu treiben : wie passend, dass gut daran geschraubt wird, in absehbarer Zeit die UKW Frequenzen abzulösen…
Bei den Dingern braucht’s keine VT, da gibt‘ ne echte V …
Schau mal nach der Geschichte der „Rauchmelder retten Leben“-Kampagne, die hinter den Einbauverordnungen steht. Es handelt sich um eine Industriegruppierung, die über 10 Jahre lang harte Lobbyarbeit für eine Einbaupflicht gemacht, inklusive Werbefilmchen für Feuerwehren.
Belastbare statistische Belege für eine Reduktion der Brandtotenzahl gab und gibt es nicht (verschiedene Zeitungen haben dazu Artikel, musste mal suchen).
Durch die Modernisierungsduldungspflicht (§555d BGB) kann zur Miete Wohnenden von Seiten der Vermietergesellschaften jedwede Überwachungswanze vorgeschrieben werden. Es gab auch schon ein entsprechendes Gerichtsurteil.
Diese Verordnungen sind das perfekte trojanische Pferd zur endgülitigen Abwrackung von Unverletzbarkeit der Wohnung und intimer Lebensführung, besonders weil vernetzte und wanzentaugliche Modelle auf dem Vormarsch sind (Google Nest wird nicht lange allein bleiben).
Nicht lustig, wo soll das enden.
Auf jeden Fall aufmachen und genau untersuchen.
Mal was ganz anderes, hat nochmal jemand was von der Volksverschlüsselung gehört? Der Quellcode ist inzwischen auf der Website herunterladbar. Hat sich den mal jemand angeschaut? Weiß jemand wie die Nutzerzahlen inzwischen aussehen?
Zuerst einmal danke für diesen schönen Podcast ich höre euch immer wieder gerne und freue mich jedes Mal wenn ne neue Folge draußen ist auch wenn ich hinterher immer das dringende Bedürfnis habe meine Wohnung mit Kupfernetzen zu tapezieren und nie wieder raus zu gehen.
bei der Diskussion um eine Angabe der „garantierten minderst Sicherheit“ (garantierte Sicherheits Updates bis …) bin ich irgendwie etwas skeptisch wegen der Umsetzbarkeit, natürlich ist die Forderung erst einmal vollkommen legitim und nach vollziehbar und mir fällt grade auch absolut nichts besseres ein (was sinnvolle Kritik natürlich immer schwer macht) aber bei mir gibts da noch ein paar begründete Zweifel.
So wie ich das verstanden habe richtet sich diese Forderung ja vor allem an die deutsche Gesetzgebung was natürlich schon mal ein bisschen am Wirkbereich des, wenn es dann tatschlich so kommen sollte, daraus entstehenden Gesetzes zweifeln lässt. Ich denke nicht das man heut zu tage noch sinnvoll argumentieren kann das, sollten Apple Google Windows etc. sich nicht an diesen deutschen Standard halten ihre Produkte hier in Deutschland nicht mehr vertrieben werden dürfen. Natürlich ist Deutschland ein großer Absatzmarkt für diese Firmen aber ich denke in der Vergangenheit hat sich schon gezeigt das so eine Drohung bei den Firmen dann eher belächelt wird, abgesehen davon das in Deutschland wahrscheinlich 90% der Bevölkerung den verantwortlichen Politiker mit Mistgabeln und Fackeln jagen würde wenn sie plötzlich nicht mehr das neue iPhone oder Android Handy kaufen können. Das Ganze auf europäischer Ebene auf zu ziehen würde vielleicht wenigstens den Druck auf die Firmen erhöhen allerdings habe ich da noch mehr Zweifel wegen der Umsetzbarkeit. Das was am Ende tatsächlich als Gesetz dabei heraus kommen würde hätte wahrscheinlich insgesamt nur noch sehr wenig mit der eigentlich guten Idee zu tun die die „garantierten minderst Sicherheit“ ja eigentlich ist.
Wenn man jetzt mal hypothetisch annimmt das aber trotz aller Zweifel so eine Regulierung zustande kommt bleibt in meinen Augen immer noch die das Problem der örtlichen Begrenzung natürlich würde unser Leben innerhalb des regulierten Bereiches sicherer und einfacher werden jedenfalls bezogen auf die regulierte Technik. Insgesamt würde sich aber wahrscheinlich nicht viel ändern weil im Rest der Welt die Menschen immer noch ihre billig IOT Geräte in unser aller globales Internet stecken und die Rechen Leistung irgendwelchen Bot Netzen zur Verfügung stellen.
Auch die Sache mit der Überprüfbarkeit einer solchen Regelung ist in meinen Augen schwierig geht man dann zur Polizei und schreibt ne anzeige wenn mein iPhone dann doch schon nach 2,5 Jahren keine Updates mehr bekommt anstatt erst nach 3? Und wie viele Leute würde das dann überhaupt interessieren, wenn sogar schon eine Manipulation an des deutschen liebster Technik, dem Auto, quasi ohne Konsequenzen bleibt.
Und natürlich kann man einen „Rat“ gründen in dem sehr viele Leute mit sehr viel Ahnung sitzen und Standards für Geräte festlegen aber die Zeit die diese experten darauf verwenden sich solche Standards zu überlegen will ja auch bezahlt werden und im Normalfall bezahlt der Staat deutlich schlechter als die freie Wirtschaft also würden über kurz oder lang nur noch von der Industrie bezahlte oder über Lobbyisten beeinflusste experten in diesem „Rat“ sitzen die sich dann wieder die Regeln auf schreiben die sie grade so eben sowieso schon aller erfüllen.
Wie gesagt ich bin mir bewusst das das alles keine konstruktive Kritik ist und wer nichts versucht hat eh schon verloren aber alles in allem sehe ich einfach schwarz.
Wahrscheinlich ist die Idee mit der Kupfer Tapete und dem nie wieder raus gehen doch gar nicht so schlecht.
Greife ich gerne auf die Idee mit der Kupfertapete. Was ich nämlich bei der ganzen Diskussion nicht verstehe, warum denn auf einmal jedes Gerät so super sicher sein muss? Ich bleib mal bei deinem Beispiel, der Tapete: Innerhalb ist ein sicherer Raum und da kannst du machen was du willst. Wenn der HF-Dicht ist kannst du sogar beliebige Funkanlagen betreiben (ob das sinnvoll ist, steht auf einem anderen Blatt, Stichwort Gerätetests) Besser als die Tapete ist aber ein anderer Vergleich: Ich stelle die Frage, ob du wenn du einen Schreibtisch in deine Wohnung stellst tatsächlich das teuerste und sicherste Schloss anbringst. Na eben. Was wir wirklich brauchen sind sichere Türschlösser (aka, Router).
Abschließender Gedanke: Wenn die Hersteller wirklich dazu gezwungen werden sollten ihre Boxen dicht zu machen, wäre das ein fataler Schlag gegen freie Software. Die Co-lateral Schäden wären ähnlich groß wie bei der seinerzeitigen Forderung nach geschlossenen W-Lan Access points. Die haben wir nun und beklagen nun, dass keine offenen Zugänge mehr angeboten werden dürfen.
Also der Dialog mit Alexa am Schluß erinnert mich sehr an den Sci-Fi-Film 2001 – Gefangen im Weltall. Dem allwissenden Zentralcomputer ausgeliefert, der die Wahrheit für sich allein beansprucht.
Frank darf gerne öfter vorbeikommen.
Genau, oder seinen eigenen Podcast regelmäßiger machen :)
Oder? Und! :-)
Gute Sendung und es macht immer sehr viel Freude Frank zuzuhören.
Andererseits fand ich diese Sendung besonders deprimierend, da sie gezeigt hat das wir bald nicht mehr weit von Orwells 1984 entfernt sind. Wie schafft ihr es alle, dass ihr trotz alledem noch eine optimistische Zukunftsperspektive seht?
Ohne Optimismus wird’s bestimmt nicht besser.
Sollten wir Friedrich nicht einfach zustimmen und das Supergrundrecht für Sicherheit auf für unsere Geräte einfordern?
Endlich mal wieder eine Folge Alternativlos;)