NXP will Sicherheitsexperten zum Schweigen bringen

Hacker Der Chip-Hersteller NXP will mit einer gerichtlichen Verfügung verhindern, dass Wissenschaftler der adboud-Universität im niederländischen Nijmegen ihren Bericht über die Unsicherheit von Smartcards des Herstellers veröffentlichen. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
richtig so ..da müssem die entwickler halt mal flott nachlegen und investieren
 
Sehe ich anders! Sie sollten sich zunächst an den NXP wenden und Ihr Vorgehen zum ausnutzen der Schwachstellen beschreiben. Anschließend währe eine angemessene Belohnung angebracht! Sich aber direkt an die Öffentlichkeit zu wenden, obwohl offensichtlich ist, dass dies bald in Massen kriminell ausgenutzt wird, halte ich für unverantwortlich und Rufschädigend der Uni! Denn keiner Ihrer Zukünftigen Arbeitgeber wird sich auf das Risiko einlassen, dass ihre Mitarbeiter Firmengeheimnisse Preis geben. Außerdem sind dies lediglich 3 Monate in dem das Sicherheitssystem theoretisch verbessert, programmiert und schließlich Hunderte Lesegeräte verändert werden müssen.
 
@knoxyz: Da NXP die Sicherheitsexperten zum Schweigen bringen will weiß NXP von der Schwachstelle und will nix dagegen tun. Da es aber anscheinend keine Belohnung gab und auch von NXP keine Reaktion kam außer der die Experten Mundtot zu machen mit ner Verfügung ist ja wohl klar was davon zu halten ist... Los schnell veröffentlichen bevor die Verfügung durch ist damit NXP im Zugzang ist und die Sicherheit verbessern muss, ist ja für alle nur von vorteil dann...
 
Du musst bedenken (hab es bereits geschrieben), dass die Zeit zum handeln sehr kurz ist. Eine Veröffentlichung währe außerdem nicht nur für das aktuelle Verfahren hilfreich, sondern erklärt auch das prinzipielle Vorgehen ist. Falls NXP allerdings wirklich beabsichtigt, generell tatenlos zu bleiben (und evtl eine Belohnung zu geben), kann ich das auch nicht gutheißen! So wie es allerdings aus der News hervorgeht, würden die Profs. den großen Schaden anrichten.
 
@knoxyz: Die Zeit zum Handeln wäre lang genug gewesen für NXP da die Sache ja schon schon länger bekannt ist, nur jetzt erst ist es in der Öffentlichkeit gelandet wegen der Unterlassungsklage. Naja und das man mit Trick umsonst in London U-Bahn fahren kann ist glaub ich auch schon über 2 Monate alt daher ist es NXP ja schon länger bekannt! Von daher muss langsam mal was passieren.
 
@knoxyz: finde es auch richtig dass es veröffentlicht wird, da es den druck auf NXP erhöht den fehler zu beseitigen. ansonsten ist es, meiner meinung nach eine rel einfache rechnung für NXP: leute die wissen wie die lücke auszunutzen ist = rel gering => potentieller schaden auch rel gering => (schnelle) schliessung der lücke im verhältniss zu teuer.
Ich würde gern sehen dass des sehr schnell geregelt wird, da ich persönlich sehr viel vertrauen in meine chipkarten setze.
Ausserdem ist es ja so dass NXP ein produkt mit fehlern verkauft hat und sich jetzt nicht drüber aufregen sollte dass jemand diese findet! Auch wenn der handlungszeitraum knapp ist(wobei ich mir da nichtmal so sicher wär)
 
@knoxyz: Es gehört zum guten Ton, Hersteller vorab zu informieren, aber auch das wird nicht immer gemacht. Üblich sind 1 Monat Vorlaufzeit. Das ist auch der zeitraum, den z.B. Microsoft erbittet bevor Fehler öffentlich gemacht werden. Experten mundtot zu machen ist in meinen Augen fast schon kriminell. Denn wenn die eine Lücke finden können, dann können das andere auch, die mehr kriminelle Energie haben. Gerade das Ausnutzen von Lücken, installieren von Bot-Netzen, Entwicklung von Viren ist in den letzten Jahren professionell kommerziell geworden. Da sitzen hervorragende Experten und verdienen Geld mit dem Misbrauch. Schweigen über Lücken zu verordnen macht das nicht besser.
 
(@timurlenk) MS hat auch wesentlich mehr Personal und braucht keine Hardware austauschen. Das Ihr alle darauf pocht, dass NXP handeln soll, sehe ich ja genauso - das Sie allerdings die Veröffentlichung verhindern wollen, kann ich, aus den oben genannten Gründen, noch wesentlich mehr nachvollziehen. Um mich da umzustimmen, habe ich noch keine ausreichend trifftigen Gründe von euch gelesen.
 
Ich wusste gar nicht, dass man Unis überhaupt davon abhalten kann, Forschungsergebnisse zu veröffentlichen...
 
@nequissimus: Bisher war es ja auch nur eine Bitte.
 
@nequissimus: Wie kommst denn darauf? Auch Unis gehen in Forschungsprojekten mit der Industrie Geheimhaltungsvereinbarungen ein. Sonst würde wohl kein Industrieprojekt mehr zustande kommen, warum soll denn eine Firma Geld investieren, wenn dann jeder das kostenlos hinterher kopieren kann!?
 
@nequissimus: genauso wie Hacken verboten ist, sollte es auch nicht erlaubt sein, Hackmöglichkeiten zu verbreiten. Ob nun wissenschaftlich oder nicht.
 
@modelcaster: das Veröffentlichen ist oft die einzige Möglichkeit die Verantwortlichen dazu zu bewegen, vorhandene Sicherheitslücken zu beheben. Mit Geheimhalten erreicht man gar nichts, ausser dass gewisse Leute (Hacker) weiter Nutzen aus den Schwachstellen ziehen.
 
@modelcaster : und wieder zurück ins mittelalter. man man dann würdest du noch vor mddos sitzen wenn überhaupt den mal nach bevor du den mund aufmachst -.-
 
@ master61: ...oder die Androhung einer Veröffentlichung. Und genau das haben die Wissenschaftler laut News getan. Das den Chipherstellern allerdings nichts anderes dazu einfällt, als eine gerichtliche Verfügung zu erwirken, ist schwach.
 
@modelcaster: Sie verbreiten keine Hackmöglichkeit, sondern eine Lücke. Ansonsten wird die verschwiegen und die Leute laufen mit den Karten rum und wissen nicht, dass sie angreifbar sind. Deine Argumentation wurde auch von vielen planlosen Politikern verwendet und hat zu dem lustigen Hackertool-Paragraphen geführt, nach dem viele Sicherheitstools auch illegal sind (und sich vermutlich das BSI selber strafbar gemacht hat). :-)
 
Die solln froh sein, dass es Leute geknackt haben, die ehrliche Interessen haben.
 
Und worin soll bitte in drei Monaten bitte der Unterschied liegen? Es ist wenig Zeit um zu reagieren und in kürze steht diese Info, statt einen kleinen kriminellen Kreis, allen(!!!) zur Verfügung. Weitere Nachteile siehe Kommentar [1-2].
 
In der C't 08/08 (31.03.2008) auf Seite 80 in dem Artikel "Chiptease" steht diese Tatsache ziemlich ausführlich geschrieben. Es werden die Schwächen aufgezeigt und die C't selbst hat diese Dinger mit einer mikroskopischen Chipanalyse im Labor geknackt! Also, diese Schwachstelle ist schon quasi "ewig" bekannt!!!
Ach ja, die Überschrift liest sich so, als ob die Leute von NXP die Dienste eines Agents 47 in Anspruch nehmen wollen :-D
 
Wer zur hölle ist NXP??
 
@lordfritte: Was zur Hölle ist Google?? http://www.nxp.com/ ...
 
@lordfritte:
nxp ist ehemals philips semiconductors.
chiphersteller aus holland
 
@ joshiiv: Ist so nicht ganz richtig deine Aussage. NXP (Next eXPerience Semiconductors) wurde von Philips im August 2006 gegründet und besteht aus dem ausgegliederte Halbleiterbereich der Royal Philips Electronics der im vierten Quartal 2006 verselbständigt und zu 80,1% an die US-Finanzinvestoren Kohlberg Kravis Roberts & Co., Silver Lake Partners und AlpInvest verkauft wurde. Seit dem 1. Oktober 2006 firmiert die neue Gesellschaft unter NXP Semiconductors mit dem Namenszusatz founded by Philips. (Standorte: Hamburg und Böblingen )
 
Also mitteilen können die das, aber es muss ja nicht jedes einzelenes Detail beschrieben werden.
Einfach nur das, was man als wichtig bezeichnet.
Dann wäre auch der Missbrauch ausgeschlossen!
 
@Phoenix0870: Eine wissenschaftliche Veröffentlichung, welche andere Wissenschaftler aufgrund fehlender Angaben nicht nachprüfen können? YMMD!
 
also ihr schreibt alle einen bullshit zusammen ohne die materiezu kennen..
1. nxp ist ehemalige philips halbleitersparte.. ca 37000 mitarbeiter weltweit..

der mifare classic chip ist ungefähr vor 15 jahren entwickelt worden! d.h. den damaligen sicherheitsstandarts entsprechend... nun 15 jahre später haben diverse unis ud sonstige einrichtungen mittel und wege gefunden den chip zu knacken... kann passieren..

aber es gibt bereits x nachfolgeprodukte die den heutigen sicherheitsstandarts entsprechen (AES crypto zb) und es liegt nur an der u-bahn gesellschaft ihr system wieder sicher zu machen...

soviel dazu...

 
@luhi: ich kann in meiner auesserung keinen bullshit erkennen.
semiconductor = halbleiter.
@mordan der neue name wurde bereits am 01.09.2006 publiziert :-)
der rest ist aus der offiziellen pressemitteilung, stimmt. uebernahme waere jedoch richtiger gewesen und weitaus zutreffender als "von philips gegruendet oder von philips verkauft"
 
@luhi: @joshiiv ich hab auch nicht explizit dich gemeint aber von wegen da müssen die entwickler nachlegen usw... das ist kompletter blödsinn... weil es ja neue sichere systeme git und nachdem ich dir problematik kenne(auf meinem polo stehen drei buchstaben welche mit N beginnen) dann sollte man nicht solchen unsinn schreiben...

zum thema kkr... das ist eine invetsorengruppe die sich eigentlich kaum in die operativen gschäfte einmischen(bis jetzt gottseidank) nxp wurde ausgegliedert und ca. 80% der anteile verkauft..
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte