Startup bringt bald ein "nicht hackbares" Windows auf den Markt

Obwohl sich in den letzten Jahren viel getan hat, gilt Microsofts Betriebssystem in Sachen Sicherheit nicht gerade als der Weisheit letzter Schluss. Ein israelisches Startup ist nun aber angetreten, um mit einem angeblich unhackbaren Windows ... mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
die Meldung kommt zu früh, der 1.April ist erst in einigen Monaten...
 
@Blaulicht110: verstehe den Kommentar nicht, Windows Phone ist Bsp. sicher, es gibt keinerlei Virensoftware dafür, warum sollte Windows Desktop Versionen an sich nicht unhackbar gemacht werden können? Hacker sind nichts anderes wie die Leute die ein BS programmieren, nur im umgekehrten Sinne. Es gibt immer einen besseren, so wenn die Israelis was entwickelt haben, warum nicht. Spornt die Hacker an es dennoch zu versuchen und wenn es nicht klappt, ist die Promo ( Publicity) doch wunderbar gelaufen
 
@cheech2711: Stimmt... WP8 und WP8.1 ist dicht und es gab niemanden ders ausbekommen hat...

Die Frage ist aber
1. wie viele haben es versucht?
und
2. nur weil man was nicht aufbekommen hat, heißt es nicht, das es nicht irgendwann mal aufgeht.

Der spruch Linux ist sicher oder OSX ist sicher haben wir alle schon mal gehört. Komischerweise gibt es aber dann immer DOCH jemanden der es irgendwann mal schafft.

> Das Menschliche Gehirn ist "NOCH" halbwegs Sicher. Aber auch da kann man (z.B. mit Foltern) immer wieder Informationen entlocken. Technisch ist man noch weit davon entfernt auch nur Annähernd zu erahnen welche Informationen WO und WIE abgespeichert sind.
 
@baeri: Woher weißt du denn, ob WP8 oder WP8.1 dicht ist? Da kann eine fette unsichtbare Tür drin sein und es gibt kaum jemanden, der das herausfinden könnte und veröffentlicht. Es kann sogar sein, dass du nur eine SMS an WP8.1 schicken muss mit dem Inhalt "Hallo, hier ist die NSA, dein privater Schlüssel ist 0x39d328e..." und er dir mit einer Adminshell antwortet und es gäbe keine Möglichkeit für dich es herauszufinden, es sei denn der nächste Edward Snowden kommt um die Ecke. Und basierend auf seinen letzten Veröffentlichungen habe ich auch jeden Grund anzunehmen, dass es ungefähr so aussieht.
 
@dpazra: Nochmal meinen Kommentar lesen!
Genau das Habe ich geschrieben, Aber man braucht Schon mindestens Nen Hauptschulabschluss um die Zusammenhänge zu verstehen
 
@baeri: Habe deinen Kommentar gelesen, habe mehr als einen Hauptschulabschluss (auch mehr als ein Abitur, aber das nur nebenbei), habe meinen Kommentar nochmal gelesen, bin zu dem Schluss gekommen, dass
a) du meinen Kommentar nicht verstanden hast
b) du deinen Kommentar anders geschrieben als gemeint hast
c) ich meinen Kommentar nicht hinreichend klar in dem Punkt geschrieben habe, der dich zu stören scheint.
Alles kein Grund für die Infragestellung des Bildungsstands.

Du sagst WP8 hat vielleicht Sicherheitslücken. Das ist mir klar. Du sagst auch, dass es dicht wäre, offensichtlich *nicht* in dem Sinne dass es keine Lücken haben kann, denn dann hättest du dir ja widersprochen. Soweit ich verstehe in dem Sinne, dass "man es noch nicht aufbekommen hat", wie du später formulierst. Das stelle ich in Frage, weil du bei Closed Source, vor allem aus dem Hause Microsoft davon ausgehen kannst, dass es sogar beim Hersteller bekannte Lücken hat, die er Geheimdiensten weitergibt, der es dann "aufbekommt (ohne Aufwand) und reingeht.".
Wenn du aber nur meinst, dass niemand *öffentlich* drin war, dann musst du das schon hinschreiben, das halte ich für eine wichtige Unterscheidung, mindestens so wichtig, dass ich sie darunter ergänze.
 
@dpazra: in diesem Forum das Wort "Bildungsstand" in den Mund zu nehmen ist schon etwas ... naja, lassen wir das besser ;)
 
@Greengoose: Ich habe das nicht in die Diskussion eingeworfen, sondern beziehe mich auf baeris Vorwurf "Aber man braucht Schon mindestens Nen Hauptschulabschluss um die Zusammenhänge zu verstehen" im Zusammenhang mit seinem Kommentar, den ich angeblich nicht verstanden hätte.
 
@dpazra: ich meinte, wenn jemand wie baeri mit "mindestens -> Nen <- Hauptschulabschluss" daherkommt ist er selber wohl weit entfernt davon. selber zu doof um "einen" auszuschreiben aber andere kritisieren ist schon ein bisserl wapplerhaft aber naja .. ;)
 
@Greengoose: daß Leute immer meinen, wenn Sie Studiert hätten oder Professor sind, daß sie besser sind als andere Menschen und sich dann das recht heraus nehmen, zu behaupten dies oder jenes sei richtig und wollen dann für die Gemeinschaft sprechen, obwohl die dennoch nur für sich sprechen möchten.. aber es dennoch der Gemeinschaft aufbürden.. joa, schon der Hammer .. der letzten Endes auf den Holzamboss fällt, der dann wieder verbrannt wird.. .. bin ich nich schlau.. und so muss das natürlich auch für jeden anderen zutreffen ! und ist Standard ! jawollja..
liebe Grüße
Blacky
 
@cheech2711: Für Windows Phone gibt es auch Malware, und die Lücken im IE, die anscheinend auch WP betreffen, sind immer noch nicht geschlossen.
Es gibt aber bisher nicht so viel Malware, soweit ist es vielleicht "sicherer" für den Anwender...
 
@Overflow: Malware gibt es nicht, um das zu ermöglichen bräuchte die Software zugriff auf alles im System. Das ist aber nicht möglich, auch nicht durch diese lücke im IE, denn man bleibt immer nur in der Sandbox des IE. Vieleicht meintest du aber auch einfach Nerfware die Pushnachrichten mit Werbung sendet, das ist nun wieder harmlos
 
@Alexmitter: Dann wäre ja Malware unter Android ebenfalls nicht möglich, denn dort läuft auch alles in einer Sandbox...

"A new malware strain, confirmed by Kaspersky Labs, is making the rounds. The equal-opportunity bug is finding its way to handsets powered by Windows Phone and Android."
http://www.phonearena.com/news/Windows-Phone-Android-and-jail-broken-iOS-devices-are-under-attack-from-a-complex-malware-strain_id63751
 
@Overflow: So wie festzustellen ist funktioniert das nur auf Geräten mit Interop unlock. und wenn man schon einen Interop Unlock geschafft hat, muss man auch wissen was man macht
 
@Alexmitter: Das steht wo genau?
 
@Blaulicht110: Vor allem weil es schon prinzipiell unmöglich ist. Proprietäre Software kann niemals sicher sein. Freie Software kann unsicher sein, aber proprietäre Software nicht sicher. Windows tut etwas, dass am Ende nur Microsoft nachvollziehen kann und Microsoft kann im Zweifel zu allem gezwungen oder bestochen werden. Solange keine unabhängige Stelle nachvollziehen kann, was die Software tut, kann sie auch nicht sicher sein.
Das ist so, als würde ich meinen Hund morgens bei jemanden abliefern, abends abholen und hinterher entscheiden müssen, ob der Tag für den Hund gesundheitlich unbedenklich verlaufen ist.

Das gilt auch @cheech2711: Windows Phone ist kein bisschen sicher, du hast doch gar keine Ahnung, was die Software tut. Und wenn ein israelisches Team dein Windows noch modifiziert, dann hast du hinterher vielleicht mehr Sicherheit gegenüber irgendwelchen außenstehenden, kannst aber sicher sein, dass nun 2 Firmen alles mit deinem Computer machen können, was sie wollen.
 
@dpazra: Dass diese Meinung hier unpopulär ist, ist mir klar, aber ich bin gespannt ob auch nur ein einziges logisches Gegenargument kommt.
 
@dpazra: es gibt kein logisches Argument für deine aussage, properitär oder nicht lässt schlicht keine Rückschlussmöglichkeit ob Software sicher oder nicht sicher ist. Von was du sprichst ist auch nicht Sicherheit sondern von Vertrauenswürdigkeit...das ist lediglich ein Entscheidungskriterium für oder wider einer Software aber ist keine technische Grundlage um sagen zu können es sei Sicher

Auch offene Software so gestrickt sein dass nicht nachvollziehbar ist was sie tut (siehe underhanded c contest, bei dem regelmäßig nette Kleinigkeiten rauskommen)...und wir wissen alle wer an den großen open source projekten so mitarbeitet, vertrauenswürdig sind da einige Parteien meiner Ansicht nach nicht. Ausserdem ist es nahe ein ding der Unmöglichkeit komplexe Softwareprojekte wirklich komplett durch einem selbst vertraute leute durchleuchten zu lassen (bzw selbst zu machen)

Noch eine Randbemerkung, auch bei properitärer Softwareist es nicht immer ausgeschlossen dass man einen Code Review machen kann aber wie gesagt ist dies allein schon kein Garant für sicherheit
 
@0711: Die Diskussion ist seit 12:17 Uhr weit vorangeschritten und diese Argumente kamen schon. Ich habe weiter unten mit Beispielen argumentiert, warum ich etwas nicht vertrauenswürdiges in der Praxis als unsicher bezeichne. Aber das können wir vielleicht unter den späteren Kommentaren ausdiskutieren, dann können wir in dem fortgeschrittenen Diskussionsstadium direkt weitermachen.
 
@dpazra: primär betrifft das ja auch nur den ersten Absatz, das wichtigere steht sowieso im 2. und 3. mit konkreten Beispielen warum quellcodeeinsicht im Zweifelsfall nichts bringt.
 
@0711: Es ist schön, dass du erkennst, dass diese drastische Behauptung notwendig ist, um unfreie Software überhaupt irgendwie verteidigen zu können, aber sie ist falsch.

Quellcodeeinsicht bringt sehr viel. Eine Backdoor kann enttarnt werden, Code audits fördern Sicherheitslücken, unabhängig davon, ob sie getarnte Backdoors oder Fehler sind, zutage, bei unfreier Software ist diese Möglichkeit nicht gegeben. Apple oder Microsoft können den Zugriff für meinen Computer sofort an die NSA verkaufen, ich habe keine Chance davon zu erfahren (außer durch seltene Whistleblower).
Selbst wenn Linus Torvalds korrupt wäre, könnte jemand seine "Bugs" entdecken und fixen. Mit unfreier Software bist du immer ausgeliefert. Bei freier Software hast du unabhängige Leute, die nicht alle korrupt sind und Backdoors finiden können. Deshalb kann unfreier Software niemals vertraut werden. Selbst wenn du sagst, dass du keinem Beispiel von freier Software traust, so ist Freiheit doch eine Grundvoraussetzung um vertrauenswürdige Software zu kriegen.

Und mit all diesen überzogenen Behauptungen (bringts nichts, gleiche Situation), bleibt es nur bei dem Versuch zu zeigen, dass unfreie Software nicht schlechter ist. Es gibt kein einziges Argument für unfreie Software nur den Versuch durch überzogene Behauptungen die prinzipbedingten Sicherheitsvorteile freier Software zu leugnen.
 
@dpazra: Es sind keine überzogenen Behauptungen sondern das was uns die Realität lehrt und zeigt, magst du nicht anerkennen, ist i.O. wenn du deine Hoffnung darauf baust

Ich sage nicht dass unfreie Software nicht schlechter ist sondern dass es weder auf der einen noch auf der anderen Seite echte Vorteile gibt, Software ist entweder sicher oder nicht - das einzige was ich bei dir als Argument nachvollziehbar finde ist die Vertrauenswürdigkeit (deshalb auch mein erster Absatz in der ersten Antwort) aber auch die ist in der Realität eher theoretischer Natur. Dass du deine etwas eigene Sicherheitsdefinition bastelst sei dir aber auch gegönnt
 
@0711: Zu allererst: Ich sage, dass ich meine Software für sicher halte, wenn ich Grund zur Annahme hat, dass niemand darin eindringen kann. Das impliziert die Voraussetzung für Vertrauenswürdigkeit. Denn wenn ich glauben muss, dass es jemand mit Leichtigkeit, ohne Möglichkeit, dass ich davon erfahren, schaffen konnte, eine Einbruchsmöglichkeit zu erstellen, dann kann ich wohl kaum annehmen, dass niemand eindringen kann, oder?

Ich glaube kaum, dass du das für einen übermäßig konstruierten, unpraktischen Sicherheitsbegriff halten kannst.

Falls du diesen Sicherheitsbegriff doch akzeptieren kannst, dann musst du mir zwangsläufig zustimmen, dass unfreie Software aus Gründen der fehlenden Vertrauenswürdigkeit, in der Praxis immer unsicher (aus der Perspektive des Anwenders) ist. Ich würde dir im Sinne der Diskussion auch diese Einschränkung der Perspektive als Voraussetzung für meine Behauptung zugestehen, das macht mir gar nicht, denn ich richte mich mit meinem Appell auf freie Software zu setzen in diesem Kommentarbereich an Anwender.

Es verbleibt der Punkt, ob der Vorteil über Vertrauenswürdigkeit tatsächlich nur theoretischer Natur ist. Ich sage, dass ist nicht wahr, schon weil wir den Beweis der nicht Vertrauenswürdigkeit für das Beispiel amerikanischer Hersteller unfreier Software durch Snowden bereits erbracht haben, für freie Software kannst du das nur behaupten (und ich habe Gründe das Gegenteil zu behaupten). Aus einem praktischen Nutzen freier Software für mehr Vertrauenswürdigkeit, folgt bereits, dass sie - aus dem Sicherheitsaspekt (nach dem oben verteidigten Sicherheitsbegriff) - vorzuziehen ist.
 
@dpazra: Diesen Einblick kannst du je nachdem auch bei unfreier Software haben, hier gibt es natürlich verschiedene Gegebenheit die dir das bei nicht freier Software verwehren könnten...oft steht dem normalen Anwender dieser Weg nicht zur Verfügung
Aus Perspektive des reinen Anwenders bringt Quellcodeeinsicht aber überhaupt nichts, denn er muss zwingend auf die Meinungen dritter Vertrauen da er selbst den Quellcode nicht auditieren kann. Insoweit bleibt das eine Frage des Vertrauens gegenüber jenen dritten. Die Annahmevermutung beruht ja ebenso auf Vertrauen und kommerzielle Anbieter haben gute Gründe Vertrauensvoll zu agieren.

Warum ist die SSL Lücke weniger beweis für Softwaremanipulation als z.B. die bewiesene Kooporation der US Softwareindustrie mit den Geheimdiensten (Telekom/T-Systems kooporiert auch mit dem BND, wo der Urheber des kleinen Fauxpas in openssl seinen Arbeitsstelle fand dürfte ja bekannt sein), es gab in den Dokumenten keinen Hinweis darauf dass direkt in Endanwendersoftware Hintertüren implementiert wurden - das nimmst du an, kann ich verstehen...ich gehe aber auch davon aus dass es aktive Betrebungen gibt jegliche Softwareentwicklung zu unterwandern und den eigenen Interessen entsprechend zu lenken, auch das lehren uns die Snowden leaks. In Summe komme ich zu dem Schluss...vollständig vertrauenswürdige Software gibt es für mich nicht, ob offen oder nicht ändert für mich wie gesagt nichts. (Das lasse ich dann auch mal als mein finales Statement dazu stehen)
 
@0711: Es ist nicht das gleiche und ich kann diese Argumentationslinie wirklich nur noch als verzweifelt betrachten.

1. Ohne viele Augen (möglich durch bedingungslose Offenheit des Codes) + Kollaboration (möglich durch freie Softwarelizenzen) kann man nicht erwarten Fehler schnell genug zu finden. Der Einblick durch einzelne in unfreie Software bringt also wenig.

2. Vertrauen gegenüber Dritten ist nicht gleich Vertrauen gegenüber Dritten, und es tut mir Leid, hier das offensichtliche Aufzeigen zu müssen: Es macht einen riesigen Unterschied ob diese Dritten "jeder sein kann", der Einbauer der Backdoor also nicht offen kann, dass bestimmte Leute, die ihm misstrauen es nicht sind, es macht einen riesigen Unterschied ob diese Dritten unabhängig sein können, es macht einen riesigen Unterschied ob ich oder eine Gemeinschaft diese dritten Beauftragen können (spendenfinanzierte/crowdgefundete Code audits, sind bei freier Software möglich) oder ob sie von Leuten bezahlt werden, denen ich nicht vertrauen kann.

3. Warum ist eine Lücke weniger Beweis als das bewiesene ...? Da springt dir die Antwort schon aus dem Satz ins Gesicht. Das bewiesene ist offensichtlich bewiesen, bei der Lücke gibt es die bloße Unterstellung der Manipulation. Vor allem interessant ist, aber das Nachgeschehen: An dem SSL-Problem wird mit Forks und finanzielle Unterstützung, etc. Es gibt aber nichts, was wir tun können um dem Problem mit unfreier Software entgegenzuwirken, denn der Herstellerkonzern kann jederzeit in die Kooperation gezwungen werden, ohne unser Wissen.

Fazit: Ich halte daran fest, dass freie Software praktisch eine bessere Situation in diesem Punkt *hat*. Was mir noch wichtiger ist, ist dass diese Situation auch theoretisch immer weiter verbessert werden kann, während man es bei unfreier Software prinzipbedingt nicht verbessern kann, ohne bei Punkten anzusetzen, die exakt mit der Unfreiheit verbunden sind.
 
@dpazra: Sicherheit hat nichts damit zu tun, ob Software frei oder proprietär ist. Das sind nur Lizenzfragen. Wenn ich eine proprietäre Software irgandwann als Open Source freigebe, dann ist nicht plötzlich die Qualität besser. Ach übrigens: Microsoft gibt den Source Code schon seit vielen, vielen Jahren raus. Nur frei ist er nicht, er wird aber zum Beispiel an viele Unis gegeben, auch in Deutschland, an strategische Partner, an Regierungen, ...
 
@Nunk-Junge: Sicherheit hat sehr wohl etwas mit der Lizenz zu tun. Wenn ich keine unabhängige Gruppe mit Verbesserungen oder Veränderungen der Software betrauen kann, kann ich der Software niemals vertrauen, es gibt keine Möglichkeit für mich irgendwie nachzuvollziehen, was sie tut.
Die Tatsache, dass strategische Partner und Regierungen darüber verfügen, nützt mir überhaupt nichts, denn erstens, kann ich ja wohl davon ausgehen, dass diese NDAs unterliegen und ich folglich nichts davon habe, selbst wenn einzelne eine Backdoor finden würden, was ja schon unwahrscheinlich bei der menge an Code ist, und zweitens stellt sich die Kontrollierbarkeit eben nur dadurch ein, dass viele gemeinsam darauf zugreifen und daran arbeiten können und offen darüber publizieren können.
Das ist genau der Kern zwischen proprietär und frei. Genau das verhindert die Lizenz .
 
@Nunk-Junge: Kleine Einschränkung, weil ich ja der Logik verpflichtet bin: Ein proprietäres Programm könnte sicher sein, wenn sein Quellcode offen läge und es eine formale Beschreibung seiner Funktion gäbe, die "Sicherheit" im umgangssprachlichen Sinne impliziert (was an sich schon schwer zu prüfen wäre, da eine formale Beschreibung der Funktion einer Standard-Windows-Installation sehr lang wäre) und es ein System gäbe, dass die Korrektheit dieser sicheren Funktion für den dann offenen Quellcode von Windows beweis.
Da wir alle 3 Komponenten hierfür nicht haben, spielt das keine praktische Rolle und die einzige praktische Variante, die bleibt um Vertrauen herzustellen wäre 1. offene Entwicklung und 2. Entwicklung und Einblick durch unabhängige Entwickler, die jeder Nutzer beauftragen könnte (nicht nur strategische Partner).
 
@dpazra: Du redest ziemlichen Quatsch. Die Realität (Android) zeigt uns doch gerade, dass quelloffene (OpenSource) nicht per se sicherer ist.

Das war und ist scheinbar immer noch der Wunschgedanke der OpenSource "Verfechter" und wurde immer wieder schon gepredigt. Stimmt aber deshalb nicht unbedingt! Denn auch in OpenSource gibt und gab es immer wieder Sicherheitslücken. Sourcecode Audits sind vielleicht leichter möglich, aber bei Millionen Zeilen von Code realistisch gesehen nicht durchführbar.

Versuche doch mal das Thema nicht so religiös verblendet anzugehen!
 
@paulchen_panther: Erstens rede ich nicht von OpenSource, das reicht nicht ganz.

Zweitens sage ich nicht, dass freie Software per se sicher ist, sondern dass proprietäre Software per se unsicher bist. Du kannst nämlich immer von einem böswilligen Hersteller eine Hintertür reingedrückt bekommen, weshalb du niemals Sicherheit haben wirst, solange du dich proprietärer Software aussetzt.

Wie sicher freie Software in der Praxis ist, hängt davon ab wie aktiv und groß die Community ist. Daran lässt sich aber arbeiten, wie es jetzt im Fall von OpenSSL passiert. Wenn ein Geheimdienst den Hersteller irgendeines deiner Programme entsprechend einschüchtert und er dich anschließend über eine implementierte Sicherheitslücke angreift, kannst du machen, was du willst und die halbe Welt kann machen, was sie will, es kann genau so morgen und übermorgen und überübermorgen mit jeder Software passieren, die nicht der Kontrolle der Allgemeinheit unterliegt.

In diesem Sinne: Versuche doch das Thema mal nicht so naiv anzugehen und versuche vor allem mich nicht falsch zu verstehen. Ich sage, dass proprietäre Software prinzipiell unsicher, mindestens im Sinne von nicht vertrauenswürdig ist, freie Software dieses Problem aber überwinden kann(!) .

Ein Android System, so wie es heute zum Einsatz kommt, ist btw. ein verdammt schlechtes Beispiel für freie Software, denn selbst wenn der Kern Open Source ist, bilden einen wesentlichen Teil des modernen Einsatzes die proprietären Google Services, in denen wiederum ohne weiteres drinstehen könnte:
if(signaturMatchesNSAKey(request))
return rootshell;
(nicht unbedingt in genau dieser Form, versteht sich).
 
@dpazra: "Du kannst nämlich immer von einem böswilligen Hersteller eine Hintertür reingedrückt bekommen, weshalb du niemals Sicherheit haben wirst, solange du dich proprietärer Software aussetzt."
Gleiche Situation bei offener Software

OpenSSL, das Kind ist ja schon in Brunnen gefallen und man kehrt hier ja lediglich die Scherben auf...übrigens zeigen die anderen SSL Implementierungen teils auch recht gravierende macken

Naivität vorwerfen aber nicht davon ausgehen offene Software könne kaum - nicht ersichtlich manipuliert werden ist schon ein interessanter Brückenschlag.
 
@0711: Wie ebenfalls bereits geschrieben, behaupte ich nicht, dass freie Software per se sicherer sei, ich behaupte, dass sie der einzige mögliche Weg zur Sicherheit ist, da bei nicht-freier Software eine unverhältnissmäßig kleine Möglichkeit besteht Backdoors zeitnah aufzudecken.

Ich behaupte auch nicht, dass freie Software überhaupt nicht manipuliert werden könne, aber da ist es realistisch diese Manipulation aufzudecken. Du wirst kaum behaupten, dass die Manipulierbarkeit von freier Software überhaupt vergleichbar mit den Möglichkeiten zur Manipulation nicht-freier Software ist. Und da geben mir die Ereignisse der Realität genauso recht, wie die offensichtlichen theoretischen Argumente.

Gerade die Manipularkeit ist der Todesstoß für die bloße Idee von Sicherheit nicht-freier Software, deshalb bleibt dir nichts als der Versuch das zu relativieren, per "Gleiche Situation ...". Aber diese Gleichstellung ist völlig unhaltbar. Es ist bereits veröffentlicht, dass die NSA bei großen kommerziellen Anbietern unfreier Produkte direkten Zugriff bekommen konnte. Das ist völlig anders als bei freier Software, hier ist man darauf angewiesen Fehler zu finden, welche der Öffentlichkeit verborgen bleiben, denn die ganze Entwicklergemeinde kann man im Gegensatz zu Konzernen eben nicht unter Druck setzen. Gib mir irgendeine reale Nachricht, die deine Behauptung von "gleicher Situation" unterstützt und auch der theoretische Vergleich liefert direkt die entscheidenden Unterschiede.
 
@dpazra: Du unterstellst aber das man in properitäre Software keinen Quellcodeeinsicht bekommen kann, das schlicht falsch. Deshalb ist deine Schlussfolgerung hier auch falsch.

Welche Manipulation von nicht freier Software kommt dir da in den Sinn die das beweist? Einige Aluhüte behaupten auch bei der bekannten OpenSSL Lücke, es handle sich hier um bewusste Manipulation und genau solche Vorkommnisse widersprechen deiner Argumentation an dieser Stelle (ich habe bewusst natürlich ein bekanntes Beispiel gewählt)

Ich dagegen sehe eben die Manipulierbarkeit und auch die bloße Wahrscheinlichkeit sowohl bei nicht freier als auch freier Software gegeben...die Realität zeigt für mich einfach dass von den Reviewmöglichkeiten in freier Software nicht mehr gebrauch gemacht wird (nicht selten auch aufgrund von Geldmangel - nie ein guter Ausgangspunkt) wie in nicht freier Software, auch zeigt sich oftmals dass als Bug klassifizierte Sicherheitsprobleme genausogut bewusste Manipulationen gewesen sein könnten und hier kommen wir zum nächsten Punkt....Sicherheitslücken gibt es praktisch zu gleichen teilen in freier wie nicht freier Software
Ich sehe also keinen Grund warum ich der einen "philosophie" mehr Sicherheit zusprechen sollte.
 
@dpazra: Genau genommen:
Ob ein System sicher ist oder nicht, hängt nicht davon ab, ob es auf diesen Umstand überprüfbar ist. Wenn du keinen Einblick in den Quellcode der Software hast, kannst du nicht sicher sein ob sie sicher ist. Ob die Software sicher ist oder nicht ändert sich dadurch aber nicht.

Wenn ich sage: "Ich bin vollbusig." kannst du dir nicht sicher sein, das es stimmt.
Aber ob es stimmt oder nicht ist davon nicht abhängig.

Übrigens:
Auch wenn die Software Quelloffen ist, kannst du nicht sicher sein ob sie sicher ist.
Und wenn 1000 Leute den Code prüfen und sagen die Software sei sicher, woher willst du wissen, dass sie nicht lügen? Vertraust du denen etwa? Wenn man kein Vertrauen zu global agierenden, allgemein bekannten und ständig unter der Beobachtung der Öffentlichkeit stehenden Unternehmen hat (nicht dass ich das ankreiden wollte), wieso sollte man dann einer Horde potenziell Anonymer vertrauen?
Du musst es schon persönlich prüfen. Aber woher willst du wissen, dass du nichts übersehen hast?

Du vermengst Sicherheit mit Vertrauen, aber das sind 2 paar Schuhe.
 
@crmsnrzl: 1. Ist es sicher etwas explizit "nicht vertrauenswürdiges" zu benutzen? Aber auf diese Diskussion über Sicherheitsbegriffe inkl. einiger Analogien, habe ich in o4:re2:re1:re1 (könnte klappen ein #c2675091 an die Adresse zu hängen) adressiert. Um es hier nur kurz zu beantworten: Praxisrelevant ist für mich ein Sicherheitsbegriff der Vertrauenswürdigkeit impliziert, vor allem wenn Vertrauen gegenüber demjenigen nötig wäre, vor dem ich u.A. sicher sein möchte.

2. Die Beobachtung der Öffentlichkeit bestimmter Unternehmen/Regierungsbehörden ist ja gar nicht gegeben, wie wir es in letzter Zeit immer wieder schmerzlich feststellen. Gerade wenn diese ausgewählten Stellen von jemandem ausgewählt werden, der selbst nicht vertrauenswürdig ist, ist es mir doch sehr viel lieber, wenn es prinzipiell jede Person sein könnte und nicht nur eine ausgewählte. Das ist auch gar nicht schwer nachzuvollziehen, oder? Denkst du nicht, dass es für deine Absicht etwas "böses" zu tun (eine Sicherheitstür einbauen) eine Rolle spielt, ob
a) nur ausgewählte Personen es bemerken könnten(!) .
b) jede beliebige Person gucken und es bemerken könnte, u.A. deine größten Feinde & Kritiker & jene, die dir am wenigsten vertrauen.
Außerdem ist da auch gerade der Punkt, der noch über Open Source hinausgeht, denn diese ausgewählten Stellen, die den Quellcode einsehen dürften, dürfen das erstens nur unter bestimmten Bedingungen, weil auch der gesehene Quellcode proprietär statt frei ist, und zweitens können sie es abstreiten eine als Fehler getarnte Hintertür gesehen zu haben (was übrigens das Argument der Beobachtung dieser ausgewählten Stellen sehr relativiert, oder?).

EDIT: Wichtiger Nachtrag: durch die NSA-Enthüllungen ist bekannt geworden, dass Microsoft Backdoors engebaut hat. Also abgesehen von diesem theoretischen Punkt, wissen wir faktisch, dass Windows nicht vertrauenswürdig ist!
 
@dpazra: Klammer dich nicht so sehr an MS, deine Abrechnung mit denen ist mir Latte. Meine Aussage war grundsätzlicher Natur.
"Proprietär oder nicht", hat keinen zwingenden Zusammenhang mit "sicher oder nicht".
Womit ich deiner These widerspreche:
"Proprietäre Software kann niemals sicher sein. Freie Software kann unsicher sein, aber proprietäre Software nicht sicher."

Wenn du für Sicherheit Vertrauen voraussetzt, dann ist das ganze nur noch subjektiv zu betrachten. Dagegen ist nichts einzuwenden, aber dann ist deine oben zitierte These weiterhin Hafer. Denn dann ist objektiv betrachtet prinzipiell nichts sicher.
 
@crmsnrzl: 1. Da du den benannten Kommentar offenbar nicht gelesen hast, gebe ich direkt hier ein Beispiel: Wenn ich irgendjemandem auf der Straße meinen Haustürschlüssel gebe, ist mein Haus nicht mehr sicher, auch wenn er ihn weggeworfen haben könnte. Wenn ich einer fremden Person auf der Straße meinen Schlüssel vor die Füße lege, ohne zu wissen, ob er ihn nimmt, ist mein Haus ebenfalls nicht mehr sicher.
Eine Sicherheit die davon abhängig ist, ob jemand seine Möglichkeit zur Schaffung einer Einbruchsmöglichkeit nutzt oder nicht *ist* in jeder sinnvollen Definition von Vertrauen abhängig und ohne Vertrauen existiert diese Sicherheit nicht. Folglich würde ich für solche Fälle, wie sie in der Kategorie von proprietärer Software vorliegen, argumentieren, dass ein Sicherheitsbegriff, der kein Vertrauen voraussetzt ein schlechter und praktisch wenig sinnvoller Sicherheitsbegriff ist.

2. Beliebiges Muster: Wir vergleichen Konzept A und B, und Konzept B versagt in einer Größe deutlich oder prinzipiell (was ich behaupte). Um das leugnen, wird der Anspruch an diese Größe einfach auf eine Weise verschärft, dass beide Konzepte versagen und wir die Größe außer Acht lassen können. Aber das ändert nichts daran, dass es einen faktischen Unterschied gibt:
Bei proprietärer Software, kannst du in der Praxis sicher sein, dass einem böswilligen Hersteller oder jemandem, der auf den Hersteller macht ausüben kann, eine Hintertür zur Verfügung steht, wenn er dies will. Deshalb kann ich sie niemals als sicher akzeptieren und ich würde jeden als naiv betrachten, der das tut.
Bei freier Software besteht die Möglichkeit unabhängiger (durch offenen Code) und (bei komplexer Software notwendig) kollaborativer (durch freie Lizenz) Kontrolle um sowohl Böswilligkeiten als auch technisches Versagen aufzudecken. Je nach Aktivität und Größe der Community ist damit praktische Sicherheit erreichbar (man beachte das "-bar"!), in einem Maße das sich qualitativ von der Situation der völligen Ausgeliefertheit, wie sie gerade für proprietäre Sofware geschildert wurde, unterscheidet. Mit geeignetem wissenschaftlichen/technischen Fortschritt sogar 100%ige Sicherheit.
 
@dpazra: Darf ich Software, die ich selbst überprüft habe als sicher betrachten?
Ich persönlich vertraue mir in dem Punkt eher als irgend einem geldgierigen Konzern oder irgend einer Community von Unbekannten (die ich übrigens auch für nix zur Verantwortung ziehen kann).
 
@crmsnrzl: Wenn du dir zutraust komplexe Software hinreichend zu überblicken, dann ja. Das klingt aber für die meiste Software wie eine Aufgabe für die man 'savantische' Fähigkeit benötigt. In diesem Fall genüge dir sogar OpenSource Software und du könntest auf die Möglichkeiten der Zusammenarbeit, die dir eine freie Lizenz bietet, verzichten.

Ich traue mir das allerdings nicht komplett alleine zu, deshalb hätte ich doch gerne freie Software. Btw. kannst du im Zweifel normalerweise auch den geldgierigen Konzern nicht zur Verantwortung ziehen, denn den Unterschied zwischen einem Bug und einer Backdoor wirst du kaum nachweisen können, selbst wenn der Rechtsweg gegen einen geldgierigen Konzern realistisch wäre.

Die Community von unbekannten kannst du aber kennen lernen, die treffen sich öfter und die haben auch IRC-Channel und Mailinglisten, in denen jeder mitschreiben kann.

Was ihre Vertrauenswürdigkeit betrifft, so gibt es schon Unterschiede. die 1000 Unbekannten kennen sich nämlich auch gegenseitig nicht, weshalb sie sich nicht gegen dich verschwören werden, abgesehen davon, dass sie nicht dazu erpressbar sind.
 
@dpazra: "Wenn du dir zutraust komplexe Software hinreichend zu überblicken, dann ja. Das klingt aber für die meiste Software wie eine Aufgabe für die man 'savantische' Fähigkeit benötigt. In diesem Fall genüge dir sogar OpenSource Software und du könntest auf die Möglichkeiten der Zusammenarbeit, die dir eine freie Lizenz bietet, verzichten."

Damit stimmst du mir also zu, dass proprietäre Software wie open source oder freie Software ebenfalls sicher sein >>kann<< (nach den von dir angelegten Maßstäben). Von meiner Warte aus, betrachte ich diese allerdings allesamt als unsicher.

Es stand ja nicht zur Debatte ob ich eventuell auch open source nutzen könnte, ob diese leichter zu prüfen wäre oder ich nicht den 800seitigen NDA mit Seelenverpfändungsparagraphen unterschreiben müsste.

Zu dem war von >>komplexer<< vorher auch keine Rede. Aber das ist sowieso relativ.

"die 1000 Unbekannten kennen sich nämlich auch gegenseitig nicht, weshalb sie sich nicht gegen dich verschwören werden, abgesehen davon, dass sie nicht dazu erpressbar sind."

Das ist eine reine Mutmaßung. Naheliegend, aber dennoch reine Mutmaßung.
 
@crmsnrzl: Ich schreibe hier keine mathematischen Papers mit einem Einleitungskapitel voller Definitionen, dass ist mir zu anstrengend ohne, dass Winfuture LaTeX in Kommentaren zulässt, und vor allem würden sie schwer lesbar sein. Du kannst mir jederzeit das triviale Eingeständnis abringen, dass zu meinen Thesen für universelle Gültigkeit noch das Kleingedruckte fehlt.

Nur frage ich mich in welche argumentatorische Stoßrichtung dich das weiterbringt und wozu du das tun wolltest.
Ja, ich spreche von komplexer Software, von der Software, der ich die Sicherheit meiner persönlichen Daten anvertraue, der Software deren Sicherheit für alle computernutzenden Menschen, die sich für Sicherheit interessieren, auch eine Rolle spielt.
Ja, du kannst von deiner Warte aus alles als unsicher betrachten, je nachdem wie hoch du deinen Sicherheitsstandard setzt.
Ja, du kannst es auch als reine Mutmassung betrachten, dass sich 1000 unabhängige Leute nicht gegen dich verschwören (mehr als Quasisicherheit gibt es nicht in einem nicht-deterministischen Universum).

Und dann?

Bist du immer noch in einer Welt in der du dich zwischen Windows oder Ubuntu oder Debian oder Libreboot + Parabola entscheidest, zwischen Office 365, Google Docs oder LibreOffice, bevor du deine persönlichen Daten in eine Maschine tippst, oder gar direkt in die Cloud.
Bist du immer noch in einer Welt, in der überall Bestrebungen zur massenhaften Spionage und Datensammlerei betrieben werden.
Bist du immer noch in einer Welt in der Big Data einer der relevantesten Forschungsbereiche wird.
Und du musst darüber nachdenken, wer alles deine Daten kriegen soll um dir dein Geld/deine Wahlstimme per Kreditkartenbetrug oder geschicktes targeted Marketing aus der Tasche zu ziehen.

Warum interessierst du dich denn für Computersicherheit? Ich hoffe ich habe klar gemacht warum ich mich dafür interessiere und warum ich hier und woanders über freie Software diskutiere, denn wenn an der Sicherheit meines Computers meine Daten hängen, hängt daran in letzter Konsequenz auch ein guter Teil meiner Freiheit.

Und für diesen Praxisfall macht es einen Unterschied, weil sich eben nicht 1000 Leute gegen mich verschwören, aber einzelne Konzerne sehr wohl erwiesenermaßen sofort zur Rausgabe der Backdoors gezwungen werden können. Deshalb diskutiere ich, warum diskutierst du? Um mich auf triviale Fehler hinzuweisen? Ich verspreche, dir dass weiter welche drin sind, alleine weil ich bei jedem Kommentar überlege, was an kleingedrucktem noch rein soll und was selbstverständlich ist. Und ich traue dir soviel zu, dass du auch weißt, was ich meine und was als selbstverständlich impliziert ist. Ich habe keine Angst vor proprietären Hello World Skripten, die kann ich disassemblieren.
 
@dpazra: Nach dem du nachträglich alles relativiert und subjektiviert hast...
Ja, freu dich.

Dennoch hast Eingangs ein Grundsatzbehauptung aufgestellt, die nicht haltbar ist.
Um mehr ging es von vornherein nicht.
 
@crmsnrzl: Weder relativiere ich, noch subjektiviere ich. Ich habe präzisiert, dass mich mit meiner Grundbehauptung auf die in der realen Welt relevante Software beziehe, also nichttriviale Software, was ich von vornherein für klar hielt und ich bleibe bei der (freundlichen) Unterstellung, dass dir das auch klar ist.
Ich präzisiere, dass es mir nicht um 100%ige theoretische Sicherheit, sondern um praktische Sicherheit in der realen Welt geht, auch das sollte dir klar sein.

Ich stehe voll zur Grundsatzbehauptung, dass mir in diesem Fall proprietäre Software niemals Sicherheit bieten kann.
Ich billige dir sofort zu, dass sich Sonderfälle, die ich aus offensichtlichen Gründen nicht für meine oder die Sicherheit anderer, relevant halte, etwa die Fälle von nicht-komplexer Software, konstruieren lassen, in denen sie nicht gilt. Wenn es dein Ziel war, dass zu belegen, herzlichen Glückwunsch, das gestehe ich dir sofort ein.

Aber ich weiß nicht, wozu du das diskutieren willst. Wenn das nicht das ist, worüber du diskutieren wolltest, dann sage mir bitte welche Relativierung oder Subjektivierung dich stört, dein Beitrag ist auffallend kurz, dafür dass ich "alles relativiert und sujektiviert habe", sollte es ja ein leichtes sein, das aufzuzeigen.
 
@crmsnrzl: Wenn 1000 Leute behaupten, die Open-Source-Software sei sicher, dann ist sie das sehr wahrscheinlich auch. Selbst wenn man nun davon ausgeht, die 1000 Leute wären gekauft, stellt das prinzipiell kein Problem dar, da die Software von dem 1001-sten überprüft werden kann, der auch auf meine Rechnung arbeitet. Wenn du dann immer noch behauptest, auch diese Person könnte gekauft sein, dann muss man sich jene Frage auch bei proprietären Produkten stellen - diese liefern auch nur eine Leistung gegen Geld und diese können genauso wahrscheinlich "weitere Einnahmequellen" haben. Hierbei ist es sogar wahrscheinlicher, da sie etwaige daraus bedingte Anpassungen viel leichter geheim halten können.

Open Source Software ist nicht per se besser oder sicherer. Fehler können genauso wahrscheinlich auftreten und übersehen werden. Allerdings ist Open Source vertrauenswürdiger, da sie eine Prüfung nach dem Viele-Augen-Prinzip nicht von vornherein vereitelt. Ein proprietäres Gegenstück der Software könnte sicherer sein, es kann aber genauso wahrscheinlich auch unsicherer sein - nur wirst du das nie erfahren. Und gerade beim Thema Sicherheit ist es besser, einen wohldefinierten "As is"-Zustand zu haben, mit dessen bekannten Schwächen man umgehen kann - und da punktet Open Source Software - als eine proprietäre Black Box zu nutzen, über deren Sicherheit man überhaupt kein Urteil fällen kann.
 
@Niccolo Machiavelli: Wenn ich jetzt sage, Programm xy ist sicher weil es open source ist und von mir überprüft wurde. Glaubst Du das? Du kennst mich doch gar nicht.
Und von den 1000 Leuten, die Du anführst, ist wahrscheinlich jeder eifrig aber mehr oder weniger unfähig.
 
@Milber: Nein, das glaube ich nicht, da du keine Reputation hast. Du vertraust auch keinem Unbekannten, wenn er dir eine Prognose bei einem gesundheitlichen Problem hast. Sondern du gehst zu einem Arzt. Genauso, wie du den passenden Handwerker für eine Aufgabe rufst. Vertraust du denen auch grundsätzlich nicht? Hilft es dort nicht, eine zweite oder dritte Meinung einzuholen? Warum sollte es bei Software anders sein? Proprietäre Software verhindert aber eine zweite oder dritte Meinung von vornherein und du hast nur die des Herstellers.

Und wie du darauf kommst, dass nur eifrige aber unfähige Menschen Code lesen, erläuterst du bestimmt noch.
 
@Niccolo Machiavelli: Klar kann ich das versuchen zu erläutern.
Eifrig ist ja wohl Grundvoraussetzung.
Unfähig deswegen weil ich die nicht kenne und deswegen erst Mal davon ausgehe, dass sie nix können. Klingt blöd, aber bei Google oder MS, die können was, das weiß ich.
Und wenn irgend jemand sagt "nein nein, der ist wirklich gut" dann reicht es ja auch, wenn ich zu EINEM Arzt gehe, denn der ist sicher kompetenter als ich.
Gehe ich aber zu jemandem aus meinem Berufsfeld dann sieht die Sache schon wieder anders aus.
Ergo: entweder ich kenne jemandem von dem ich WEIß (nicht wo es mir gesagt wird) dass der gut ist oder ich kenne jemanden nicht, dann wird mir halt gesagt dass er gut sei oder nicht. Und dann müsste ich wissen ob der Ratgeber irgend eine Art von Kompetenz aufweist.
Teufelskreis.
 
@Milber: Wenn du das Programm schreibst und nur für dich hast, und mir sagst, du hast es überprüft, glaube ich dir das? Ich kenn dich doch gar nicht.

Wenn jeder aber reingucken kann, glaube ich schonmal, dass du zumindest nicht selber reingeschrieben hast
if(signatureMatchesNSAKey(request)) return filelist/rootshell/etc.;
das wäre nämlich ganz schön doof.

Dass die Entwickler in der freien Software Welt mehr oder weniger unfähig sind, ist kompletter (ich wiederhole *kompletter*) Schwachsinn, jede Statistik widerlegt das. Im Allgemeinen sind sie Berufsprogrammierer und die meisten Untersuchungen zeigen bessere Qualitätskennzahlen für freie Software als für geschlossene.

Aber selbst, wenn du nicht weißt ob in dem frei einsehbaren Programm eine Hintertür ist, bei einem geschlossenen Programm, dass in den Händen einer Firma ist, weißt du fast sicher (für Amerika ist es bereits erwiesen), dass die Geheimdienste dieses Landes eine Hintertür verlangen können, wenn sie das wollen. Und das *ist* ein Unterschied.
Ob bei 1000 unabhängigen, verteilten Leuten gleichzeitig Druck aufgebaut werden kann, ohne dass jemand aufpasst, oder einer anfängt böswillige Fehler reinzuschleusen, ohne das es auf lange Sicht auffällt, die Wahrscheinlichkeit kannst du dir überlegen. 1000 Leute, die aktiv in den Code gucken ist allerdings auch schon ziemlich gut, ich weiß gar nicht, wer auf soviel kommt.
 
@Milber: (das hier bezieht sich jetzt erst auf auf re:3, ich tippe zu langsam) Ich habe bereits dargelegt, dass die Fähigkeiten der Entwickler auch für viele freie Software Projekte belegt ist, im Zweifel besser als bei MS.

Das ist aber gar nicht der Punkt. Egal wie genial Microsoft ist, du kannst ihnen trotzdem nicht glauben. Genauso genial sind sie auch beim implementieren der Backdoor (und dieser Vorfall ist erwiesen). Ich vertraue einem guten Arzt auch nicht, wenn ich weiß, dass der für jemanden arbeite(t/n muss), dem nicht meine besten Interessen am Herzen liegen.

Und dir muss selbst bewusst werden, dass Niccolo Machiavelli (wie passend in dieser Frage ;) ) mit seiner Antwort ins Schwarze trifft. Für Sicherheit ist es essentiell eine Zweitmeinung einholen zu können, deshalb wird es auch überall gemacht, und du kannst nur noch versuchen alle möglichen Zweitmeinungsgeber zu diskreditieren, aber dieses Argument ist schwach. Du hast keine Möglichkeit vernünftig zu belegen, dass die MS Entwickler fähiger sind, als die in der Linux Kernel Community (da schauen btw. auch gelegentlich MS Entwickler vorbei). Im Gegenteil, bei denen kannst du dich anhand des Codes davon überzeugen wie gut sie sind.
 
@dpazra: Ich habe nie behauptet, dass ich MS voll und ganz vertraue, aber das muss ich auch nicht weil ich das in einem Unternehmen aus dem Land der Tausend Möglichkeiten nicht die eine Möglichkeit "Vertrauen" benutzen kann.
Doch, ich vertraue denen schon, genau so wie den Leuten von Apple oder Google, bei den Linux-Leuten ist es auch nicht anders. Was sollte ich auch anderes tun?
Nein, ich kann in keinen Code schauen, ich habe mit peek und poke aufgehört, also ist es mir völlig wurscht ob "man" reinschauen kann. Denn wenn es jemand andres tut dann muss ich halt darauf vertrauen, dass er kein Volltrottel ist. Also wieder Vertrauen.
 
@Milber: "Was sollte ich auch anderes tun?"
Ich gebe dir eine Alternative: Wenn du jemandem vertrauen willst und zwei Optionen hast:
1) vertraue jemandem, von dem bekannt ist, dass er die Sicherheit seiner User durch die Herausgabe einer Backdoor kompromittiert hat, von dem du weißt, dass niemand/kaum jemand in sein Tun hereinschauen kann.
2) vertraue jemandem, von dem du weißt, dass er weiß, dass jeder in sein Tun reingucken könnte, einige es tun, und der aus vielen unabhängigen Teilen besteht (von dem es reichen würde, wenn ein einziger einen Fehler veröffentlicht!) und der seine "interne" Kommunikation veröffentlicht (jede Änderung am Linux-Kern inklusive zugehöriger Diskussion, Kommentare usw., ist z.B. öffentlich).

Wenn es dir wirklich um Sicherheit geht, wähle Option 2. Wenn nicht: Das ist aber das Thema dieser Diskussion.
Wenn du ernsthaft argumentieren kannst, dass Option 1 besser ist: ich bin gespannt. Wenn du behaupten willst, dass ich in irgendeiner Option etwas nicht zutreffendes behauptet habe: Ich bin gespannt.

Es gibt keinen Weg darum herum, dass jemand, dem alle auf die Hände gucken können (nicht nur du), vertrauenswürdiger ist, als jemand für den das nicht gilt und dessen (böswilliges) Fehlverhalten schon publik gemacht wurde (denn du kennst keinen von beiden persönlich).
 
@crmsnrzl: "Wenn ich sage: "Ich bin vollbusig." kannst du dir nicht sicher sein, das es stimmt.
Aber ob es stimmt oder nicht ist davon nicht abhängig."
Wir ändern das Beispiel mal ein wenig ab in "Ich bin weiblich und war das auch immer."
Bei Open Source kann ich bei dir vorbeikommen und optisch überprüfen ob die weiblich bist. Wenn du mich dann täuschst, dann nur mit erheblichem Aufwand.
Wenn ich sicher gehen will könnte ich weitergehende Tests machen, aber solange es keine feste Definition von "weiblich" gibt kann ich nie absolut 100% sicher sein ob du mich verarschst.
Bei Closed Source sagst du mir über Internet dass du weiblich bist und schickst nichtmal Bilder mit. Hier gibt's auch Möglichkeiten das zu überprüfen, vll. finde ich dein Facebook-Profil oder ich analysiere deine Schrift. Aber allein die Tatsache dass eine Lüge viel schwerer als solche erkennbar ist erhöht die Wahrscheinlichkeit dass du lügst erheblich.
(Bei Closed Source ist eine Sicherheitslücke schwerer zu erkennen, also ist es wahrscheinlicher, dass sie existiert; ich sehe es als erwiesen an, dass mehrere Firmen ihnen bekannte Sicherheitslücken aus Kostengründen nicht repariert haben weil sie gedacht haben Security through Obscurity könnte wohl reichen. Darüber hinaus sehe ich es auch als erwiesen an, dass mehrere Firmen Sicherheitslücken mit Zusatzaufwand absichtlich eingebaut haben.)
Ob ich das nachprüfen kann oder nicht wird natürlich nichts daran ändern ob du wirklich irgendwann mal ein Mann warst, aber wenn ich jemanden brauche der nie ein Mann war erleichtert mir die Nachprüfbarkeit die Entscheidung jemanden zu finden auf den das auch zutrifft.
 
Klingt interessant. Aber können die einfach ein modifiziertes Windows verkaufen? :o
 
@MacSpeedy: Das habe ich mich auch gefragt. In irgendeiner Art und Weise müssen die doch mit Microsoft zusammenarbeiten, anders kann ich mir das kaum vorstellen. Und wenn das wirklich gut funktioniert, wäre die Firma natürlich auch ein idealer Zukauf für MS, um Windows irgendwann standardmäßig damit auszurüsten. Klingt auf jeden Fall spannend.
 
@MacSpeedy: Ich tippe darauf, dass es nicht wirklich ein modifiziertes Windows ist sondern eher eine Sammlung an Tools. Entsprechende Infos gibts aber wohl leider nicht
 
@Fallen][Angel: Zitat: "Bei Morphisec hat man daher den gesamten Arbeitsspeicher randomisiert, so dass es Angreifern nicht möglich ist, über Schwachstellen Code ins System einzuschleusen und auszuführen."

Das klingt definitiv nach einem Mod. Tools können umgangen und ausgehebelt werden. Oder meinst du es ist eine Software die nach einer Installation so tief ins System eingreift?
 
@MacSpeedy: Evtl. ist es auch eine Dienstleisgung: "Ihr habt Windowsrechner, ich bau sie euch (Softwareseitig bestimmt auch Hardwareseitig) um!"

Bevor man die exakte Dokumentation und das Datenblatt gesehen hat kann man viele Vermutungen aufstellen. Besonders wenn Informationen durch den Medien von Blog zu Blog Eigenintepretiert verfälscht werden.

Hier die Überschrift:
Startup bringt bald ein "nicht hackbares" Windows

Ohne mich beschäftigt zu haben, vermutlich bringen die Entwickler folgende Überschrift:
Wir machen Ihr Windows nahezu Unhackbar :^)
 
@MacSpeedy: Wahrscheinlich nicht - aber den Mod zum Nachinstallieren schon.
 
Frage mich wie kompatibel dieses Windows dann noch mit offiziellen Updates sein wird. Wobei eigentlich dürfte man ja nicht den eigentlichen Code von Windows anpacken (Copyright, oh oh) sondern eher mit zusätzlichen Tools arbeiten.
 
@Fallen][Angel: man kann z.B. mit whitelistingverfahren (die übrigens in Windows integriert wären) arbeiten...aber unabhängig davon halte ich das für großes Marketing gewäsch
 
Alles ist Hackbar, die Frage ist: Lohnt sich der Aufwand?
 
@happy_dogshit:

Theoretisch mag zwar alles Hackbar sein, praktisch ist es jedoch nicht. Es gibt Verschlüsselungsverfahren die nur durch Brutforce lösbar sind und selbst bei aktuellen Supercomuter Jahrhunderte bräuchten. Und was machen wenn die Rechner schneller werden, längere Schlüssel verwenden ;)

Nachtrag: Okey man darf den Faktor mensch selber nicht vergessen. Selbst solche Verfahren wie oben beschrieben werden geknackt, aber nicht mit Brutforce, sondern durch das erlangen des Schlüssel über einen menschlichen Weg. Das erstellen des Schlüssel hinterlässt generell irgendwelche Spuren, sei es durch die Eingabe der Tastertur, Datei oder Co.
 
@Andy2019: richtig ist, dass das durchsuchen des kompletten schlüsselraums jahre dauert. aber nicht zwangsläufig ist der letzte mögliche schlüssel auch der gesuchte. so kann brute force mit glück schneller zum ergebnis führen als das durchsuchen aller möglichkeiten dauern würde.
 
@dc_01: Ich würde deine Aussage gern einmal um 180° drehen: Brute Force wird nur mit sehr, sehr, SEHR viel Pech genau so lang brauchen, wie das Durchsuchen des gesamten Schlüsselraums dauern würde. Von Glück kann man erst sprechen, wenn man nur ca. 5% oder weniger der geschätzten Dauer benötigt.
 
@Sh4itan: 1% von 100.000.000.000.000.000.000 Jahren sind 1.000.000.000.000.000.000 Jahre.
 
@nayooti: Woher kommt die "100.000.000.000.000.000.000"?
 
@dognose:

Sollte ich keine Fehler bei der Berechnung gemacht haben:

128Bit Schlüssel hat insgesamt 340282366920938000000000000000000000000 mögliche Varianten.

Ein Rechner der es schafft 1.000.000 Varianten pro Sekunde zu berechnen benötigt dann immer noch 10790283070806000000000000 Jahre. Selbst wenn der Rechner 1.000.000 schneller wäre bräuchte er immer noch 10790283070806000000 Jahre dafür.

Wenn der Rechner dann ungefähr ^5 mal schneller wäre bräuchte man erträgliche 10,79 Jahre dafür. Dann erhöhe von 128bit auf 256bit und der selbe Rechner braucht wieder: 3671743063080800000000000000000000000000 Jahre um alle Varianten auszutesten ;)

Also du siehst selbst wenn die Rechner immer schneller, man schafft es mit minimalen Aufwand die Brutforce Berechnung auf Jahre hinweg zu verlängern.
 
@dognose: Die ist sicher willkürlich gewählt, falls dich die tatsächliche Mathematik interessiert, hier ein ganz kurzer Exkurs:

Um einen Schlüssel mit der entsprechenden Bitlänge per Brute Force zu finden, suchst du eine Primzahl zwischen 2^1023 und 2^1024. Die Anzahl der Primzahlen zwischen diesen Grenzen kann nicht genau genannt werden, allerdings gibt es eine Annäherung, von der wir wissen, dass sie gut ist, und zwar Pi(n) = ~ x/log(x). Damit kommst du auf eine Zahl, die größer als 2^1010 ist ( log(x) ist nämlich klein im Verhältnis zu x). Das ist ungefähr im Bereich 10^304. Soweit ich weiß, kann selbst der schnellste Supercomputer zur Zeit weniger als 10^18 Versuche pro Sekunde raten. Das lässt uns mit mehr als 10^296 Sekunden übrig oder mehr als 10^288 (sehr grobe Unterschätzung) Jahren.

Nachtrag: Wenn du wenigstens ein Teilchen pro Rateversuch in Energie umwandeln musst, wirst du mehr als 10^224 mal das gesamte geschätzte Universum durch den Generator für deinen Computer durchziehen, bevor du fertig bist.

Nachtrag2: Falls sich jemand über Unterschiede zu Andys Rechnung wundert, wir haben unterschiedliche Schlüssellängen vorausgesetzt.
 
@Andy2019: Das gilt aber nur für symmetrische Verschlüsselungen. Bei Asymmetrischen hingegen ist die Schlüsselzahl deutlich kleiner, da nicht jede "Möglichkeit" ein gültiger Schlüssel (Das Produkt zweier Primzahlen) ist.

Gut, Bruteforce ist bei beiden relativ aussichtslos, wobei man vermutlich nicht unterschätzen darf wie effizient ein Botnetz hierfür eingesetzt werden könnte.

Aber nicht zu vergessen: Dies ist immer nur die Bruteforce Betrachtung, also das Probieren aller Möglichkeiten. Je nach Verschlüsselungsmethode kann man aber auf vielversprechendere Verfahren, wie z.B. Pattern-Matching etc

"Rein" die Widerstandsfähigkeit gegen Bruteforce alleine macht keine gute Verschlüsselung aus. Häufig sind auch die 20 stelligen Passwörter total unnütz, da man beim (Bruteforce-)Angriff auf ein hash-basiertes Login-System ohnehin nur nach einer "Kollision", nicht aber dem eigentlichen Passwort sucht.
 
@dognose:
Da gebe ich dir absolute Recht. Das sind aber alles Aspekte die, neben dem Schlüssel, um ein Verschlüsselungsverfahren liegen. Da bringt mir das beste Verfahren nichts, wenn z.B. der Schlüssel offen auf meinem Schreibtisch liegt ;).
 
@happy_dogshit: 1. Der Aufwand ein Programm zu hacken, geht gegen 0, wenn du vorher deine eigene Backdoor eingebaut ist. Dieses modifizierte Windows wird also in Zukunft nicht nur mit Aufwand 0 für amerikanische, sondern auch mit Aufwand 0 für israelische Dienste hackbar sein.

2. Ein Programm kann sehr wohl unhackbar sein, z.B. folgendes Python-Programm:
print("Hello, World!")
Rein statistisch nimmt aber die Wahrscheinlichkeit eines ausnutzbaren Fehlers zu, je komplexer dein Programm wird. Es gibt aber durchaus beweisbare Korrektheit und die zukünftige Forschung und Entwicklung könnte helfen, dass soetwas in der Praxis eher machbar wird, als heute.

Um die Korrektheit eines Programms zu beweisen, muss es allerdings offen liegen, was uns im Zusammenhang mit proprietärer Software zu Punkt 1 zurückführt. Software, deren Funktionsweise geheim bleibt, wird also niemals sicher sein, weder theoretisch in Zukunft, noch praktisch heute.
 
@dpazra: du hast da eine verquere Logik. Auch ein proprieteres System kann sicher sein, nur kannst du es nicht überprüfen. Schrödingers Katze mit einer abgeschlossenen Box, die Katze ist gleichzeitig tot und lebendig und DU hast keine Chance die Box aufzumachen.

Aber nur weil die Box nicht verschlossen ist, ist die Katze noch lange nicht lebendig. Oder wie kommt sonst Heartbleed zustande. Da stand die Kiste doch sperangelweit offen, trotzdem hat niemand die tote Katze gefunden. Und sobald ein System komplex genug ist, bist du auch bei einer offenen Kiste genauso schlau wie bei einer verschlossenen, weil eine Person gar nicht die ganze Kiste erfassen kann...
 
@Draco2007: Ich habe in einem früheren Kommentar in dieser News bereits gesagt, dass freie Software unsicher sein kann.

Es ist interessant, dass du Schrödingers Katze bringst, denn ein Aspekt an Schrödingers Katze ist, dass niemand ohne zu schauen sein Kopf in die Box halten würde (vielleicht ist das Gift ausgetreten, vielleicht nicht). Windows könnte durchaus frei von Hintertüren sein, davon ist aber nicht auszugehen. (Man beachte übrigens hier die Mehrdeutigkeit des Wortes sicher, denn im Zusammenhang mit Wahrscheinlichkeitstheorie ist gerade die Blackbox-Situation das Paradabeispiel für unsicher).

Und ich glaube hier haben wir beide verschiedene Sicherheitsbegriffe. Um eine Analogie zu deiner Analogie zu bringen: Der nächste Abzug im Russisch Roulette kann auch sicher sein, wenn in dieser Kammer (auch eine Blackbox) keine Kugel ist. Tatsächlich ist er nach deinem Sicherheitsbegriff niemals unsicher, entweder er ist sicher oder garantiert tödlich. Ich würde sagen, er ist unsicher, weil du nicht weißt, ob du überlebst oder nicht.
Welchen Sicherheitsbegriff hälst du nun für jemanden der sagt, er möchte möglichst keinen Zugriff auf seine Daten ermöglichen, für praktikabler?

Ich gebe dir auch Recht damit, dass eine Person die ganze Kiste nicht erfassen kann. Deshalb sage ich auch nicht "Open Source", denn nur das reicht nicht, wenn jeder auf sich alleine gestellt ist. Gerade deshalb braucht man den Begriff der "freien Software", denn nur wenn viele unabhängige Leute kollaborieren können, kann (wohl gemerkt "kann") Sicherheit (in meinem oben erläuterten Verständnis) erreicht werden.

In meinem Verständnis kann proprietäre Software nicht sicher sein, um noch eine Analogie zu bringen:
Wenn du weißt, dass ein bekannter Einbrecher (Sprichwort, Microsoft + Snowden Enthüllungen) dein Türschloss angefertigt hat, würde ich nicht sagen, dein Haus ist sicher. Nach deiner Schrödinger-Analogie, darfst du nicht sagen, dass es unsicher ist, nur: vielleicht ist es sicher, denn der bekannte Einbrecher könnte den Schlüssel weggeworfen haben UND ein guter Schloßmacher sein, vielleicht bleibt es unsicher (beachte übrigens in dieser Analogie, dass die erste Bedingung die viel problematischere zu sein scheint, während im Sachverhalt auf den sie sich bezieht, viel zu viel über die zweite Bedingung diskutiert wird).
 
Sicherheit ist die Illusion bis zum bekannt werden der Unsicherheit!

Und nicht nur für Windows.
 
Das passt hierzu http://winfuture.de/news,88341.html ja wie die Faust aufs Auge. Hat er Erfolg, dann wird er garantiert Steinreich.
 
@Knarzi81: es geht ihm ja nicht darum lücken zu entdecken sondern nicht ausnutzbar zu machen
 
@0711: Ähm, du hast wohl die Passage mit den neuen Ideen Windows sicherer zu machen nicht gelesen, oder? Der letzte Teil des Artikels.

"Hier sucht man seitens Microsoft nach konkreten Ideen, mit denen sich die Verteidigungsmechanismen von Windows auf eine Art steigern lassen, die Angriffe besser abwehren kann, als die derzeit eingesetzten Verfahren. In Einzelfällen - für sehr einzigartige und durchschlagende Exploits war Microsoft bisher schon bereit über die üblichen Sätze hinaus bis zu 100.000 Dollar zu zahlen. Um nun auch die Forschung an der Verteidigung auf ein vergleichbares Niveau zu bringen, vergibt man für entsprechende Mechanismen nun ebenfalls 50.000 bis 100.000 Dollar. "

Wenn er das Ding jetzt fast unknackbar macht, dann ist der Laden schon so gut wie gekauft.
 
Klingt toll! Wo ist der Haken?
 
@gutenmorgen1: Der Haken dürfte sein, dass es mächtige Interessengruppen gibt, welche dies gar nicht wollen. Und da die Software in Israel entwickelt wird, dürften Mossad und CIA offenen Türen bekommen. Und früher oder später finden auch die Hacker diese Eingänge...
 
@gutenmorgen1: Der Haken ist, dass Windows eine Blackbox ist und du auf Gedeih und Verderb der Vertrauenswürdigkeit des Herstellers (kann man vergessen) und all jener, die politischen/rechtlichen Druck auf ihn ausüben können (kann man TOTAL vergessen) ausgeliefert bist. Die Idee eines sicheren Windows ist der schlechteste Witz, den ich seit langem gehört habe, ähnlich witzig, wie "sicheres iOS", "sicheres MacOS"...
 
@dpazra: Oder "sicheres Linux"
 
@Bautz: das ist lange nicht so lustig, denn bei Linux wissen wir, dass nicht jemand ohne das Wissen der Öffentlichkeit alles reinschreiben kann, was er will.
 
@dpazra: Wenn da wer bei Fedora / Canonical / SuSe / Redhat sitzt und irgendwas in die Distris reinkompiliert, siehst du das auch nicht.
Oder machst du erst 100% Codereview und kompilierst dann selbst?
 
@Bautz: Ne, ich weiß aber, dass die wissen, dass jeder sieht, was sie machen und ihre Reputation, gerade in der kritischen Linux Welt, für immer dahin wäre. Naja, Canonicals Reputation ist auch so nicht so gut, da nehme ich lieber nichts von.

Aber wie wäre es, wenn ich ArchLinux nehme? Oder irgendeine andere Distro hinter der keine große Firma steckt? Oder Linux from Scratch? (Das sage ich aber nur so, das soll nicht heißen, dass ich eingestehe, dass Red Hat genauso einfach wie MS oder Apple Backdoors einbauen könnte.)
 
@dpazra:
Wer sagt dass hinter dieser Distro nicht ein CIA/NSA Mitarbeiter steckt?
(Paranoia heißt nix dass da nix is ;-) )

Auch für MS wäre das ein PR-Desaster sondersgleichen.

Der einzige Weg sicher zu sein: 100% Codereview und selbst kompilieren. Vorteil von Linux: Man kann es tun. Problem dabei: Keiner tut es.
 
@Bautz: Selber kompilieren ist gar nicht so ein Problem (Gentoo). Das hinter einer Distro ein NSA-Mitarbeiter steckt, wäre theoretisch möglich, aber hinter den großen Distros stecken Communities mit unterschiedlichen Menschen, da wird das schon sehr sehr unwahrscheinlich (würde ich ausschließen).

Das so genannte PR-Desaster ist längst eingetreten (danke Snowden) für MS und deren Busines geht weiter.
 
@dpazra: Auch bei den Distros sitzt doch ein Mensch der den compile Befehl eingibt. Da einfach ein -add_nsa_hack hinzufügen und schon läufts.

Selber compilieren geht auch noch, aber du kennst den Code nicht zu 100%. Und über irgendwelche properitären Treiber (die man ja doch mal braucht) hast du ja sowieso keine Kontrolle mehr.
 
@Bautz: Ne, also es gibt schon Leute, die wert darauf legen, dass selber nochmal zu kompilieren und die Binaries zu vergleichen, deshalb gibt es auch Disput, wenn die Toolchains nicht mehr nachvollziehbar sind, also so einfach ist es nicht, die Distros zu unterwandern. Ein Beispiel für diesen Disput gab es btw. bei TrueCrypt, wo das sehr schwer war, weil die irgendeine antike Visual Studio Version oder etwas ähnlich esoterisches verwendet haben.

Und ja, ich kenne den Code nicht ganz, ich habe aber Vertrauen in bestimmte Programme, wenn ich weiß, dass genügend viele unabhängige Entwickler einen Blick auf die Entwicklung haben, so dass Maulwürfe mittelfristig ihr Auffliegen befürchten müssen.

Analogie: Wenn ich weiß, dass mein Koch immer vor einer nur von außen durchsichtigen Glasscheibe guckt, von der er weiß, dass immer mal Leute stehen bleiben und nachgucken, dann denke ich auch, dass er nicht alle Speisen vergiftet, selbst wenn er flinke Finger hat.
 
@dpazra: Ich vertraue einfach nur dem eigenen Code. Und das auch nur soweit ich ihn Zeile für Zeile ausführe. Der Illusion von Sicherheit zu folgen, nur weil man Linux einsetzt, schockiert mich immer wieder.
 
@Bautz: Ich lege Wert auf Sicherheit, deshalb nutze ich Linux statt Windows. Ich habe nicht behauptet in totaler Sicherheit zu leben. Ich habe benauptet, dass proprietäre Software immer unsicher ist und dass es mit freier Software möglich ist, zu Sicherheit zu kommen, ohne dabei bestimmten Projekten Sicherheit unterstellt zu haben.

Was ich allerdings glaube, ist dass die Entwicklung von Linux als ganzes vertrauenswürdig ist. Einzelne Personen mögen möglicherweise korrumpiert sein, aber der Entwicklungsprozess ist auf eine Weise öffentlich, die es erlaubt deren absichtliche Bugs aufzudecken.

Bei MS z.B. kann ich sicher sein, wie oben schon mehrfach erläutert, dass der Geheimdienst jederzeit in meinen Rechner einsteigen kann.
 
@dpazra: Ich lege Wert auf Sicherheit, deswegen nutze ich Windows. Bei Linux fehlt mir das wissen, es sicher zu konfigurieren.

Du schreibst ja auch, "es ist möglich" die Fehler zu finden, aber garantiert ist es nicht.

Und: der Geheimdienst kann auch jederzeit in meiner Wohnung einsteigen. Dann ist das OS relativ bumms.
 
@Bautz: Ich denke nicht, dass ich ein Prioritätsziel für Geheimdienste bin, deshalb ist ein Einstieg in meiner Wohnung für mich kein Bedrohungsszenario, da er mit hohen Kosten, nötiger öffentlicher Rechtfertigung, etc. verbunden ist. Das ist also in geringes Risiko, mit dem ich leben muss. Für die breite Bevölkerung ist der Verlust der Privatsphäre durch Hausdurchsungen kein großes Thema.

Das Szenario, dass du irgendwann mal innerhalb einer Demo gegriffen wird (erwischt ja immer ein paar wahllos, weiß nicht, wie politisch aktiv du da bist), in einer Verkehrskontrolle zufällig rausgezogen oder verdachtsunabhängig am Bahnhof kontrolliert und dann der Polizist auf sein Dienstsmartphone (ok, also ein Zukunftsszenario...) guckt um zu sehen, was interessante Kontrollen sein könnten, ist da viel realistischer.

Ein bisschen geschickte Heuristik + ein bisschen Wahrscheinlichkeitstheorie + eine große Datenbank sind alles, was du brauchst um jedem Bürger einen kleinen Steckbrief zu verpassen, inkl. möglicher Ermittlungsrichtungen, falls man dem mal etwas vorwerfen möchte, schließlich gibt es eine große Grauzone nicht verfolgter Verhaltensweisen u.a. in den Bereichen Marihuana, alltägliche Steuer'optimierung', Urheberrecht, Zollrecht, Straßenverkehr, etc. Wenn man da immer einen Fundus aussichtsreicher Dinge hat, dann ist das ein echter Machtzuwachs der Behörden gegenüber dem Normalbürger.

Was die sichere Konfiguration betrifft: Aus bereits dargelegten Gründen, die du sinnvollerweise, soweit ich das überblicke, die Diskussion altert ja langsam, auch nicht bestreitest, kannst du ja dein Windows eh nicht 'sicher' konfigurieren, höchstens gegenüber Gefahren ohne Unterstützung von Microsoft.
Ich kann dir btw. aus Erfahrung mit Linux sagen: Die meisten falschen Verhaltensweisen bzgl. Sicherheit, kannst du bei Linux gar nicht an den Tag legen. Es werden prinzipiell nur signierte Pakete installiert. Das standardmäßige Nutzen eines Adminaccounts gibt es auf modernen Linux Desktops gar nicht. Die Verschlüsselung aller Nutzerdaten kannst du bei den meisten Installationen direkt einrichten. Antivirus-Sofftware gibt es auch, falls du Bedarf hast...

Und nochmal: Ich habe nie behauptet, dass es garantiert wäre den Fehler zu finden oder dass freie Software per se sicher ist. Ich habe behauptet (oft wiederholt in diesem Kommentarbereich), dass proprietäre Software nicht sicher sein kann, weil du dem nicht kontrollierbaren Hersteller ausgeliefert bist. Freie Software kann durch eine hinreichend aktive Community ziemlich sicher werden, potentiell völlig sicher durch Fortschritte in der Codeanalyse.
 
FEHLER

Ihr schreibt: "Bei Morphisec hat man daher den gesamten Arbeitsspeicher randomisiert, so dass es Angreifern nicht möglich ist, über Schwachstellen Code ins System einzuschleusen und auszuführen."

In der Quelle heißt es: "In techno-speak, Morphisec has created a version of Windows that "randomizes all the memory" for specific Windows applications, Mimran describes."

@Dummes Minuskind: Warum?! Findest du es gut, dass hier was ganz anderes steht als in der Quelle? Oder bist du zu blöd den Unterschied zu sehen? Tipp: hier steht "den gesamten Arbeitsspeicher" und in der Quelle: " all the memory" for specific Windows applications"
 
Frage: Ist das nicht genau das was ASLR schon seit Vista macht? ASLR stellt doch heute nur noch ein kleines Hindernis dar und kan z.B. durch Sprayen umgangen werden.
 
Dieses Windows ist wohl solange unhackbar bis man den Rechner einschaltet. Das kann ja nur ein Marketingfiasko geben wenn man sowas ankündigt.
 
@Tomato_DeluXe: Warum sollte man den Rechner nicht hacken können wenn er ausgeschaltet ist? Oft ist es eher so, dass die richtig gut gesicherten Systeme besser im ausgeschalteten Zustand gehackt werden können. Z.B. bei der XBox 360 oder bei den Lumia Phones sind mir nur Wege bekannt, bei denen das Gerät ausgeschaltet ist.

@dummes Minuskind: Du bewertest ernsthaft eine Frage negativ? Hast du sie nicht verstanden?
 
Wahrscheinlich mach jeder der diese Sicherheitslüge aufzudecken versucht mit dem §130 Bekanntschaft. ^^
 
@BadMax: Die Hacker in China und Russland interessiert dein §130 bestimmt herzlich wenig.
 
@M4dr1cks: Ich glaube du hast meinen Satz falsch interpretiert. Aber recht gebe ich dir trotzdem. ^^
 
Haha :-) Und die Titanic ist unsinkbar!
 
@Johnny Trash: Erinnert sich kaum noch jemand daran. Ist 103 Jahre her und selbst der Film ist von 1995. :-)
 
@Kobold-HH: und das soll jetzt anschluss finden zu Win95 ? *lol*
 
@Blackcrack: Wo liest Du einen Bezug zu Win95?
 
@Kobold-HH: den untergang zu Win95 -> Win8/10
Aber aus nem anderen Schiffsdock iss ja schon Reactos langsamer, aber sicherer auf dem weg *g*
 
@Johnny Trash: ...besser gesagt, "war als solche eingestuft"
 
Na wenn die Entwicklung von einer Regierung in Auftrag gegeben wurde dann ist das sicher sehr sicher und für niemanden einzusehen.
Ich lach mich schlapp. Da kann ich mich ja auch gleich für eine Chinesische Version oder doch besser gleichfür Windowas NSA entscheiden
 
@Trabant: Es genügt, wenn Du das neue Win 10 nimmst - da ist all das schon vorhanden ;-)
 
@Zonediver: Jap. Win 10 verheimlich seine Unsicherheit auch gar nicht. Ich wünsche niemandem, dass er beim ersten Start auf "Expresseinstellungen" geklickt hat.
 
"Die Entwicklung des gehärteten Windows begann so auch an seiner Universität" - als Grundlage dient Windows 98? :-)
 
Randomisiert Windows nicht schon seit Vista den Arbeitsspeicher?
 
@R-S: Ja, hab ich in [o9] schon geschrieben
 
@WeisseSmarties: ach ja habe ich nicht gesehen. Schön dass Du es bestätigst.
 
Was für ein Bullshit ... und MS hat dieser Fremdfirma mal einfach so den Quellcode überlassen damit diese sich daran austoben können oder wie? Fremdfinanziert wird es natürlich auch nicht von MS sondern wiederum von Dritten. Also wenn da auch nur ein Hauch Wahrheit dran ist kann sich MS entspannt zurück lehnen und warten bis das Ding Marktreif ist. Danach reicht eine kleine Klage und das Teil ist schneller vom Markt als man blinzeln kann, da die Firma auch die Strafe zu 100% nicht zahlen kann wird man sich wohl einigen und MS assimiliert dieses gehärtete Windows wenn es denn überhaupt etwas taugt.

Oder Morphisec macht einen auf Dicke Hose und verarscht sein Geldgeber ... ReactOS ist ja auch ein Windows ;-)
Da würde die Entwicklung hin passen damit man sich absetzen kann und nicht weiter Jahre hinter dem Original hinter her hingt!
 
das einzige programm das sich nicht hacken lässt, ist ein programm das sich nicht starten lässt
 
klasse scherz aufm freitag... na ja bei dem wetter kann sowas schon mal jemanden rausrutschen! obwohl, nicht ins netz gehen kann man auch nicht hacken ;)
 
Ich zieh jetzt mal mein LAN Kabel, dann soll mich mal einer hacken
 
"Obwohl sich in den letzten Jahren viel getan hat, gilt Microsofts Betriebssystem in Sachen Sicherheit nicht gerade als der Weisheit letzter Schluss"...wenn ich das schon wieder lese! Kompletter Schwachsinn!
 
@FrankZapps: Stimmt. Windows ist schon eigentlich ziemlich sicher gemacht. Ich behaupte mal, mindestens so, wie die Linux-Rechner. Meine Behauptung stütze ich darauf, dass zwar Windows mehr gehackt wird, ABER davor auch mehr Noobs sitzen. Und die meisten Viren&Co. verbreiten sich über den Menschen. Wer Linux einsetzt, der klickt weniger wahrscheinlich auf einen Link in einer Mail mit dem Titel "Möchten Sie 18 GUT kennen lernen". Und wenn man auch noch Linux als Server auf einem öffentlichen Server installiert und einrichtet, der macht das eigentlich überhaupt nicht und ist sich der Sicherheitsrisiken gut bewusst (so z.B. Web-Server-Provider und Co.). Zu behaupten, dass deswegen die Server sicherer sind, weil sie mit Linux laufen, ist heute nicht mehr sooo allgemeingültig (gibt ja auch genug Windows-Server als Beweis). Wenn ich sehe, wie viele Leute z.B. ihren Windows-Desktop mit ihrem Administrator-Konto nutzen (ja ich mach es auch), da wundert es mich nicht, dass man in diese Richtung denkt, die Du ansprichst. Nutz mal Linux mit Root-Konto und Surf mal da rum, oder nutze Software (die jetzt nicht direkt in der Distri eingebaut ist). Wenn mal da nicht nen Virus kommt... also ich würde es nicht machen. Windows ist schon ein gutes Stück Software. Zwar waren Win8 und auch mal 8.1 und Vista und so Ausrutscher :D aber MS hat dann immer mal wieder alles richtig gemacht. So jetzt auch Win10, ein Hammer geiles OS. Und das sage ich als Win7 (davor XP) Nutzer.
 
Wenn man mal unterstellt, daß der Artikel kein Scherz ist, frage ich mich warum man für derartige Projekte kein unixoides System als Ausgangsbasis nutzt.

Ferner ist ein Inselsystem nach wie vor eine Herausforderung für Hacker, nur so am Rande. Nicht jeder 0815-Bürorechner muß zwingend Zugang nach "draußen" haben.
 
Ich kann auch ein unhackbares Windows bauen:

*zieht den LAN-Steck-
 
@Aerith: Stimmt aber nicht.
 
@Menschenhasser: Wenn du direkten low level Zugang zu der Hardware und unendlich Zeit hast wird niemals ein von Menschen programmiertes System "unhackbar" sein.

Es ist eine Frage wo man die Grenze für diese Definition zieht.
 
Die beste Variante für ein unhackbares System: Nichts ans Internet anschließen! Gilt vor allem für solche Systeme wie von AKWs und ähnlich sensible.
 
@cptdark: Damit wird ein System in keinster Weise unhackbar. Allein in Betracht zu ziehen, das ein unhackbares System existieren könnte ist lächerlich.
 
@WeisseSmarties: Du hast natürlich Recht. Aber es steht wohl außer Frage, das der Zugriff auf ein System ungleich schwieriger wird, wenn man nicht einfach übers Internet darauf zugreifen kann.
 
@starship: Klar, aber bei militärischer Anwendung ist das keinesfalls ausreichend
 
@cptdark: Bei AKWs wird Software verwendet, für die die Sicherheit bewiesen ist (Die Idee ist schlicht, dass man das Programm formalisiert und dann zeigt, dass das Programm diesen Formalismus 1:1 erfüllt). Das ist ein sehr sehr großer Aufwand und alles andere als trivial. Zudem gibt es immer die Möglichkeit, dass die Hardware nicht das macht was die Theoretiker erwarten und dass der Formalismus konzeptionell nicht dicht ist. Diese Systeme sind aber noch sehr primitiv wenn man das mit Windows vergleicht. Ich will Mal jemanden sehen, der für Windows einen Automaten aufmalt. Keine Chance.

Naja, aber effektiv stimmt das, wenn man wirklich sensible Daten hat, empfiehlt es sich die auf einem Computer aufzubewahren, der nicht an das Internet angeschlossen ist und zu verschlüsseln. Das macht jeden Angriff um Größenordnungen aufwändiger. Dann sperrt man den noch in eine Metallbox mit eigener Stromversorgung (Batterie oä) und man ist ziemlich hundertprozentig sicher sicher. Aber wer muss privat schon so empfindliche Daten aufbewahren?
 
Gibt es überhaupt etwas, was nicht "hackbar" ist.. Alles was von einem Menschen erschaffen wird, kann auch mindestens von einem anderen Menschen umgangen werden. Das ist nur eine Frage der Zeit.
 
@andi1983: theoretisch soll mathematisch nachweisbare Sicherheit in der Softwareentwicklung möglich sein
 
@0711: In der Software: ja. In der Hardware: nein. Spätestens wenn du der Hardware mit Spezialequipment zu Leibe rückst wirds schwierig. Vor allem wenns ein System ist an dem noch ein Mensch arbeiten soll, denn wir können nunmal keine verschlüsselten Daten verstehen. ^^
 
@Aerith: Auch Hardware kann man so absichern dass solche Manipulationsversuche nicht funktionieren bzw sich die Hardware dann zerstört.
Interssant wären hier Hardwarebugs
 
@0711: wie gesagt: irgendwann MÜSSEN die Daten im klartext kommen (während des Betriebs) damit ein Mensch damit arbeiten kann. Spätestens dann kann man den kram theoretisch abfangen.

Ob das allerdings realistisch in der Lebenszeit der Komponenten/des Hackers gemacht werden kann: vermutlich nicht.

Wenn man eine anständig verschlüsselte HDD via bruteforce knacken will geben vermutlich die Platte und dann der Hacker zuerst den Löffel ab.

Darum: theoretisch: nicht möglich, praktisch schon.
 
@Aerith: nicht hackbar heißt ja auch nicht dass authorisierte Personen keinen zugriff haben...sondern dass nicht authorisierte Personen keinen Zugriff haben - wobei dir Firma natürlich nur für ihre Produkt wirbt und nicht mit einer abhörsicheren Umgebung

Wenn wir uns bei der Abfangbarkeit auf physikalischer Ebene bewegen müssten (Tischvibrationen, Bildschirmspiegelungen, sonstwas) wäre das wohl ein absolutes Novum in Sachen Sicherheit und zuletzt auch kein Hack gegen das "nicht hackbare Windows" und das versprechen wäre gehalten
 
Chinesische Hacker: "challenge accepted"
 
@Bautz: Für die ist es wenigstens eine challenge. Für den Mossad dann nicht mehr. Für die NSA nach wie vor nicht.
 
Wenn uns die IT-Geschichte eines gelehrt hat, dann das es KEIN sicheres System gibt und auch nie geben wird.
Bestes Beispiel hierfür ist JAVA. Früher Jahrelang als sichere Lösung propagiert und deshalb so weit verbreitet, heute eines der größten Sicherheitslöcher in IT-Systemen.
Seit einiger Zeit sind ja nicht mal autarke System sicher, die keine Netzwerkverbindung nutzen. Noch ist dabei zwar der technische Aufwand sehr hoch aber auch das ist nur eine Frage der Zeit.
Und ganz ehrlich, wenn so ein System auch noch aus Israel kommt traue ich dem Ding nicht weiter wie ich es werfen kann ;-)
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles