• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

IoT - Internet der Dinge (Internet of Things)

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
Dagegen wären Massenabmahnungen ja gar nichts.
Wenn Oma Gerlinde einen neuen Kühlschrank braucht, dann - natürlich (wir sind im Jahr 2525 2025) ein Bosch (hat sie schon immer gekauft) IoT Gerät kriegt und 2 Wochen später eine Anklage / Abmahnung / .. wegen illegaler Internet Aktivitäten bekommt. Erstmal Neffe anrufen falls vorhanden oder IoT Fachmann für 100 Euro bestellen, der dann den Kühlschrank einstellt, aber die Heizung vergisst..

Vielleicht sollte man die Sicherheitsprüfung in einer Art "IoT" Polizei umsetzen und natürlich, wenn jemand so ein IoT Gerät eingebaut und vernetzt bekommt, durch dafür geschultes Personal.

Also ein Kontrollkremium das sich darum bemüht die Sicherheit seiner Bürger zu erhöhen und relativ "unabhägig" ist vom Abmahnwahn... und zweites dafür das die Leute Fachleute an die Seite bekommen, zumindest jemand der "etwas Ahnung hat" - und dann auch dafür sorge tragen kann und Lösungen/Strategien anbieten kann, wie mit dem "neuen Spielzeug" umzugehen ist - aber auch über Risiken aufklärt.

Über Riskiken aufklären und Beraten, sehe ich die Händler in der Pflicht bzw. sollte diese auch dafür unter "Haftung" genommen werden, erst wenn der Kunde etwas Unterschreibt das er "belehrt" wurde über IoT-Probleme und mögliche Risiken und das Unterschreibt beim Kaufvertrag nimmt dem Händer die Verantwortung ab. Aber dann ist mir vielleicht auch etwas bewußter gemacht, das ich eine neue Verantwortung habe.
Das soll natürlich nicht dazu dienen das man abgemahnt wird, aber das man eine "bewußte" Unterschrift setzt und sich etwas klarer ist, was man sich ins Haus geholt hat.


Wer baut, der muss dafür sorgen, dass es sicher ist, bzw. die Politiker müssen Dinge, die zu unsicher sind verbieten, deswegen ist auch Filmchengucken im Auto für den Fahrer nicht möglich. Ist jemand selber schuld, wenn er Matrix Reloaded schaut und deswegen einen Unfall baut? Absolut. Aber um das von vornherein zu vermeiden ist sowas eben verboten, genau so wie Autos ohne Anschnallgurt etcetcetc. sobald es potenziell um Fremdgefährdung geht müssen Gesetze dafür sorgen, dass die Unternehmen keine unsicheren Produkte bauen dürfen - was sie, wie wir wissen, jederzeit gerne bereit sind zu tun.

Vielleicht ist auch das Problem hierbei, nicht der Unwillen der Hersteller etwas "sicher" zu machen, sondern einfach das die Probleme nicht richtig bekannt sind oder das Produkt ja an "irgendeinem Punkt" nun einmal "fertig" ist - es werden ja nicht für jeden Kühlschrank-Test 20 Exemplare gebaut und für 10 Jahre in Wohnungen gestellt um zu testen ob die auch wirklich "sicher" sind.

Natürlich, es gibt auch Testlabore und Sicherheitsexperten aller Art - aber auf die hat nicht jeder immer zugriff. Vor allem nicht wenn ich ein Hinterhof-Hersteller/Entwickler bin. Da kann selbst mein guter Wille "alles sicher zu machen" nicht ausreichen das es morgen eine Lücke gibt die missbraucht werden kann um mein Gerät in eine Waffe zu verwandeln.... ;)


Nur mal eine Story: In unserem Netzwerk gab es einen Fall von "Conficker" auf einem 24/7 Rechner.... durch eine freundliche Email von unserem Provider, bin ich darauf hingewiesen worden dass wir diesen Virus im Netzwerk "irgendwo" haben sollen - nach Analyse des BSI (Bundesamt für Sicherheit in der Informationstechnik) - sehr freundlich!

Mir wäre das so nicht aufgefallen, außer das der Rechner sich fast aufgehängt hatte... und ich dann den Virus entfernen konnte... und nun das System auch tauschen darf. ;)
Das war mit Sicherheit keine Absicht, aber ich bin der Aufforderung sofort nachgegangen....
 

TBow

The REAL Cheshire Cat

Registriert
15 Juli 2013
Beiträge
4.252
Ist es nicht schön, wenn man die Heizung übers Internet steuern kann?

Hacker lassen Finnen frieren

Im Osten Finnlands haben Unbekannte mehrere Wohnblocks kaltgestellt. Mit Überlastungsangriffen legten sie die Steuerung der Heizung lahm.

http://www.spiegel.de/netzwelt/web/finnland-hacker-schalten-heizungen-aus-a-1120234.html
Mich persönlich freut soetwas, da die Betroffenen nun hoffenltich etwas sensibilisiert über die Gefahren des IoT sind.
Lernen auf die harte Tour.
 
Zuletzt bearbeitet:

BurnerR

Bot #0384479

Registriert
20 Juli 2013
Beiträge
5.504
Vielleicht sollte man die Sicherheitsprüfung in einer Art "IoT" Polizei umsetzen und natürlich, wenn jemand so ein IoT Gerät eingebaut und vernetzt bekommt, durch dafür geschultes Personal.

Also ein Kontrollkremium das sich darum bemüht die Sicherheit seiner Bürger zu erhöhen und relativ "unabhägig" ist vom Abmahnwahn... und zweites dafür das die Leute Fachleute an die Seite bekommen, zumindest jemand der "etwas Ahnung hat" - und dann auch dafür sorge tragen kann und Lösungen/Strategien anbieten kann, wie mit dem "neuen Spielzeug" umzugehen ist - aber auch über Risiken aufklärt.

Über Riskiken aufklären und Beraten, sehe ich die Händler in der Pflicht bzw. sollte diese auch dafür unter "Haftung" genommen werden, erst wenn der Kunde etwas Unterschreibt das er "belehrt" wurde über IoT-Probleme und mögliche Risiken und das Unterschreibt beim Kaufvertrag nimmt dem Händer die Verantwortung ab. Aber dann ist mir vielleicht auch etwas bewußter gemacht, das ich eine neue Verantwortung habe.
Das soll natürlich nicht dazu dienen das man abgemahnt wird, aber das man eine "bewußte" Unterschrift setzt und sich etwas klarer ist, was man sich ins Haus geholt hat.
In einer besseren Welt wäre das sicherlich gangbar. Belehrung unterschreiben? Das bringt doch nichts, außer das der Hersteller mit jedem Bullshit davon kommen kann.

Lernen auf die harte Tour.
Das sind dann so Einzeldinger, wo der Käufer auch mal leidet. Meist leiden ja unbeteiligte dritte. Von den Millionen privat IoT Geräten ganz zu schweigen, wo der Endandwender immer im Zweifel das 20Euro Ding statt dem 89Euro Ding kaufen wird.
 

poesie noire

vivo forlasis

Registriert
14 Juli 2013
Beiträge
6.101
Der Endverbraucher ist doch immer der gearschte. Der normale "Standard-User" hat ja nicht einmal die Möglichkeit sich umfassend über mögliche Risiken beim Produkt zu informieren.

Beispiel: In der Meldung von Heise wurde ein Angriff auf Phillips Hue-Lampen beschrieben. Auf der Produktseite von Phillips findet man dann unter Support dies:

Reports of Philips Hue products being infected by a virus are inaccurate


Philips Hue products were not and have not been infected by a virus. Researchers contacted us in the summer about a potential vulnerability and we patched it before the details of findings were disclosed publicly. At no time was a virus created or used to infect any Philips Hue products.

We recommend all our customers install the latest software update via the Philips Hue app, as with any other update that we release, despite assessing the risk to Philips Hue products as low.

The academics with whom we cooperated via our responsible disclosure process, merely demonstrated the possibility of an attack. They did not create a virus nor disclose information necessary for someone else to do so. Their research findings helped us to develop and roll out the software update.


Aha.:dozey:

Nirgends Hinweise wie man sich schützen kann, weder Produkt-spezifisch noch allgemein. So wird es bei den meisten IoT Produkten aussehen. Den Herstellern ist es schlichtweg egal (zumindest solange bis der Umsatz wegbricht) und der Endkunde meist hilflos. Letztendlich stellt es die die Nutzung schlichtweg in Frage.
Aber wieso sollte auch ein IoT-Produkt sicher am Netz hängen, wenn es selbst große Industrieanlagen nicht sind.

Ein Umdenken muss zuallererst bei den Herstellern beginnen und dem Kunden auch entsprechend (einfache) Möglichkeiten mit auf den Weg geben, diese sicher ans Netz zu bringen. Und der Verbraucher muss sich natürlich auch Gedanken machen, was er da einsetzt, ob es überhaupt nötig und sinnvoll ist und nicht nur eine Modespielerei.
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.956
@poesie noire:

Ich nutze das Hue-System selbst intensiv. Da man sich allerdings im selben Netzwerk (W-Lan oder Kabel) befinden muss, ist die Verbindung da genauso sicher oder unsicher, wie das ganze Netzwerk. Und in dem Fall muss ich Philips mal den Rücken stärken. Ich habe dieses Jahr schon diverse Updates für mein Hue-System seites des Herstellers erhalten.
 

poesie noire

vivo forlasis

Registriert
14 Juli 2013
Beiträge
6.101
@foesenMurz:

Mir geht es nicht um die Schwachstelle an sich. Es sollte nur als Beispiel dienen. Auf der Produktseite findet man keine Hinweise auf potenzielle Gefahren und Hilfestellung um diese zu vermeiden. Da du diese Produkte benutzt, wie sieht es aus, findet sich da etwas bei den Produkten selbst, PDF oder Print?
 

HoneyBadger

Aktiver NGBler

Registriert
7 Sep. 2015
Beiträge
1.956
@poesie noire: Das war keine Kritik. Nur eine Ergänzung zu dem konkreten Beispiel. ;)
Nein, da war gar nichts dabei. Im Gegenteil - ich habe so eine Downsizingvariante gewählt. Nennt sich "Frustfreie Verpackung". Das ist nur Altpappe und das was man braucht. Also die Technik. Sonst kein Schnickschnack. Wie´s bei der hochglanzpollierten Variante aussieht, kann ich Dir aktuell leider nicht sagen.
 

poesie noire

vivo forlasis

Registriert
14 Juli 2013
Beiträge
6.101
@foesenMurz:

Habs nicht so aufgefasst. :)
Und das mit der Produktbeschreibung hat mich schon interessiert, so quasi aus erster Hand.
Ich denke mal, bei weniger qualitativ hochwertigen Produkten siehts mit Sicherheit noch schlechter aus.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@poesie noire:

Sehr gute Anmerkung + Frage.

Aber zur Anmerkung auf potentielle Gefahren, das würde kein Hersteller bringen. Sicherheit ist ja auch, das man so wenig Informationen wie möglich rausgibt und nicht schreibt "das Produkt könnte eine Schwachselle bei Netzwerken mit veralteter WEP-Verschlüsslung besitzen und sich durch dritte Fernsteuern lassen!"

Wenn ich etwas kaufe, gehe ich davon aus, das der Hersteller sich "bemüht hat" das Gerät so gut wie möglich zu sichern aber ohne die Funktionalität zu limitieren (Werkszustand für DAUser) .
Will ich es abhärten, muß ich mich halt durch die Funktionen klicken - zum Beispiel bei einem Router - und dann entscheiden ob und wie ich das Gerät einsetze/welche Features ich brauche.

Aber das Problem ist auch, ich habs ja schon geschrieben, Lücken und Schwachstellen kommen ja meist erst nach der Veröffentlichung eines Produktes zum Vorschein oder weil irgend jemand auf den Gedanken kommt was daran zu testen, woran dann mal wieder niemand anderes gedacht hat... :)
Oder etwas Zweck zu entfremden.

--- [2016-11-08 21:31 CET] Automatisch zusammengeführter Beitrag ---

In einer besseren Welt wäre das sicherlich gangbar. Belehrung unterschreiben? Das bringt doch nichts, außer das der Hersteller mit jedem Bullshit davon kommen kann.

Es ging hierbei nicht um die Hersteller, sondern bei der Idee um die (Zwischen)"Händler". Diese sollen den Kunden über Risiken aufklären müssen und nicht jeden Mist unters Volk bringen dürfen. :)

Das die Hersteller nach wie vor in der Verantwortung stehen die Produkte "sicher" zu gestalten, steht außer Frage.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Sicherheit ist ja auch, das man so wenig Informationen wie möglich rausgibt und nicht schreibt "das Produkt könnte eine Schwachselle bei Netzwerken mit veralteter WEP-Verschlüsslung besitzen und sich durch dritte Fernsteuern lassen!"
Aaaah, Security by Obscurity. Hat ja schon immer super funktioniert!
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@phre4k:

Jnein :p, aber man sollte auch nicht schlafende Hunde wecken und von jedem Produkt gleich 10 Nachteile finden, warum man es dann "überhaupt nicht" nutzen sollte, dann brauch ich es gar nicht auf den Markt bringen ;)
 

JohnDoe

Neu angemeldet

Registriert
12 Okt. 2016
Beiträge
36
Ort
/dev/urandom
Wenn das besagte Produkt diese 10 Nachteile hat, dann müssen diese gefunden werden. Und wenn sich dann herausstellt, dass der Hersteller es gar nicht auf den Markt hätte bringen sollen .. so be it.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@JohnDoe:

Naja, wenn aber Jahre in die Entwicklung geflossen sind und Human-Ressources darauf angesetzt wurden - denken aber viele das man es dann rausbringen sollte, außer der Akku überhitzt im normalen Betrieb... dann natürlich nicht. :p
 

JohnDoe

Neu angemeldet

Registriert
12 Okt. 2016
Beiträge
36
Ort
/dev/urandom
@theSplit: Da können noch so viele Mannjahre in die Entwicklung geflossen sein, wenn sich in der Testphase (die irgendwie, vor allem im IoT-Bereich kein Hersteller mehr zu haben scheint) herausstellt, dass das Produkt grob fehlerhaft ist, dann muss selbiges überarbeitet werden, und nicht einfach auf den Markt geschmissen werden, weil da ja schon so viel Arbeit drinsteckt.
 

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wenn jemand nach Jahren der Entwicklung immer noch gravierende Sicherheitslücken wissentlich klaffen lässt, gehört derjenige eingesperrt und nicht gelobt.

Keine Ahnung, wie man die Meinung vertreten kann, ein Produkt muss auf den Markt kommen. In der Pharmaindustrie ist es z.B. vollkommen normal, dass nach Jahren oder sogar Jahrzehnten von Entwicklung, Tests und Zulassungsverfahren ein Medikament einfach nicht benutzt werden darf.

Und wenn ich jetzt "Medikament" durch "IoT-Dialysegerät" ersetze, wird doch klar, wie gefährlich unsichere Geräte sind, die direkt am Internet hängen.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@JohnDoe:

Das Problem sind halt die Leute, "Manager" und "Projektmanager" oder wie die sich schimpfen... oder gar der Druck eines Kunden, dass man es "abgibt" wie es ist.

Ich vermute einfach mal, das die selben wirtschaftlichen Interessen auch bei den großen Konzernen herrschen. Schließlich soll Geld gemacht werden und "vielleicht" kommt man damit durch etwas statt in einem Jahr in sechs Monaten auf die Beine zu stellen. ;)

@phre4k:

Aber ich geb dir schon Recht, wenn man das wissentlich macht, ist das eine Katastrophe. Man sollte als Entwickler auch immer nach dem besten Willen handeln, wobei das bestimmt auch durch Budgets/Geldbeutel und Druck von "oben" nicht immer erledigt werden kann oder wegen Deadlines.

Wenn man ein Billigteil verbauen kann, was nur ein drittel so viel kostet - aber auch "funktioniert" (für X Monate/Jahre bis keine Garantie mehr drauf ist) - würde das vermutlich auch verbaut werden.

Würdet ihr als großer Konzern alles in Qualität setzen, wenn ihr statt einer Million zwei Millionen machen könntet? Ist doch leider so... nicht? :unknown:
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Das Problem sind manchmal gar nicht die Konzerne, sondern die Entwickler, die den Kack schreiben. Kleines Beispiel aus einer "Elite-Uni"-Vorlesung über Grundlagen der Softwareentwicklung:

Man nehme die Eingabedaten eines Nutzers entgegen, speichere sie in eine String-Variable. Danach wird die Variable direkt an einen Integer-Parser übergeben und das Programm verwendet die Ausgabe des Parsers, um weiter zu machen.

Weitere Themen in der Vorlesung: Rechnen, Matrizen, Arrays, Ausgabe, GUI.

Was fehlte? Das, was 80-100% aller Sicherheitslücken in Programmen schließen würde: Input Sanitizing und Exception Handling. Mit keinem Wort wurde erwähnt, dass der User immer als maligner Spinner betrachtet werden muss, der Himmel und Hölle in Bewegung setzen wird, nur um dein Programm zu zerstören und es Dinge tun zu lassen, die du nicht willst. Das hätte, und ich zitiere den Professor wörtlich, "den Rahmen der Vorlesung gesprengt". Ahja, dafür ist ne GUI natürlich wichtig, ja nee is klar.

Es sind schon die Unis, die alle Informatiker verhunzen. Professoren, die einem sagen, dass C++ eine tote Sprache ist und dann erstaunt sind, dass das am häufigsten verwendete Betriebssystem (geräteübergreifend) genau damit geschrieben wird. Die einem sagen, dass Java grundsätzlich auf allen Betriebssystemen läuft, und dann komisch schauen, wenn du ihnen sagst, dass das Unsinn ist - es läuft grundsätzlich erstmal auf KEINEM Betriebssystem. Es läuft in einer Laufzeitumgebung, die erstmal auf jedes Betriebssystem installiert werden muss. Dann wird kurz gestutzt und gemeint, dass das ja eh jeder schon drauf hätte. Ähm, NEIN! Da fehlt es an grundlegendem Wissen, an Weitblick und vor Allem an der Erkenntnis, dass es NICHTS in der Informatik gibt, was nichts mit Sicherheit zu tun hätte. Über kurz oder lang ist jedes System, ob Datenbank, ob Webanwendung, ob Rechnerarchitektur oder auch nur Protokolle ein Sicherheitsthema. Diese einfache Erkenntnis gelangt nicht in die Köpfe der Professoren, und daher auch nicht an die Studenten heran. Wir züchten Generationen von Security-Noobs, die wir hochtrabend Bachelors, Masters und PhDs of Informatics nennen, und die sich dann nen Ast freuen, wenn ihr tolles IoT-Gerät nicht beim Hochfahren schon einfriert. Dass da übers Netzwerk maligne Pakete kommen können, das kommt diesen Leuten gar nicht in den Sinn.

Und deshalb bin ich nach wie vor für harte Strafen für Verursacher von IT-Schäden. Wer ein Mangelprodukt auf den Markt bringt, das das halbe Internet lahm legt, weil aufgrund mangelhafter Sicherheitsarchitektur nach wenigen Tagen Teil eines Botnetzes, der sollte das auch zu verantworten haben und zur Verantwortung gezogen werden.
 
Oben