Meine Meinung:

Wenn ihr den Quellcode nicht auditiert, könnt ihr das gar nicht wissen.

inb4 Sicherheitslücke und Schlagzeile “Telekom muss einräumen: Versäumnisse bei Sicherheitschecks verantwortlich für feindliche Übernahme von 5G durch chinesische Hacker”

  • nachtigall@feddit.de
    link
    fedilink
    Deutsch
    arrow-up
    5
    ·
    edit-2
    1 year ago

    Wenn ihr den Quellcode nicht auditiert, könnt ihr das gar nicht wissen.

    Gilt halt nur leider für so ziemlich alle Anbieter von 5G Antennen irgendwas. Den einzigen Vorteil, den man bei Nokia und Ericsson hat, ist, dass die juristisch nicht im “Feindesland” liegen, die auch gerne mal schnuppern, wie das bei China und unseren amerikanischen Freunden der Fall ist.

    inb4 Sicherheitslücke und Schlagzeile “Telekom muss einräumen: Versäumnisse bei Sicherheitschecks verantwortlich für feindliche Übernahme von 5G durch chinesische Hacker”

    Kennt man ja aus der Vergangenheit zuhauf von Cisco.

    • Helix 🧬@feddit.deOPM
      link
      fedilink
      Deutsch
      arrow-up
      3
      ·
      1 year ago

      Gilt halt nur leider für so ziemlich alle Anbieter von 5G Antennen irgendwas.

      Nicht direkt. Bei vielen Großkunden haben die die Möglichkeit, sich den Code in speziell dafür ausgestatteten Räumen anzuschauen. Da gehen dann ein paar Entwickler und Sicherheitsexperten ohne irgendwelche technischen Geräte in einen Faradayschen Käfig, nachdem sie durchsucht wurden. Sie schauen sich den Code an und machen sich Notizen. Dann geben sie die Notizen der Firma, die die Software herstellt. Die Notizen werden dann durchgeschaut und schließlich der Firma, die das Audit durchführt, zur Verfügung gestellt.

      Mit reproducible Builds ist dann auch die Lieferkette sichergestellt. Ist also heutzutage alles möglich.

      Den einzigen Vorteil, den man bei Nokia und Ericsson hat, ist, dass die juristisch nicht im “Feindesland” liegen, die auch gerne mal schnuppern, wie das bei China und unseren amerikanischen Freunden der Fall ist.

      Das ist sicher nicht der einzige Vorteil. Die haben auch mehr Erfahrung und sind allgemein eher daran interessiert, dass sie selbst keiner ausspioniert.

      Kennt man ja aus der Vergangenheit zuhauf von Cisco.

      Hatte Cisco da nicht so semi-freiwillig mitgemacht?

      • nachtigall@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        5
        ·
        1 year ago

        Bei vielen Großkunden haben die die Möglichkeit, sich den Code in speziell dafür ausgestatteten Räumen anzuschauen.

        Mir war immer mal so, als wenn Huawei das Angebot auch mal unterbreitet hat. Da ich aber nichts entsprechendes mehr finden kann, gehe ich davon aus, dass ich mir da einfach irre.

        Das ist sicher nicht der einzige Vorteil. Die haben auch mehr Erfahrung und sind allgemein eher daran interessiert, dass sie selbst keiner ausspioniert.

        Korrigier mich, wenn ich falsch liege, aber was Huawei bei den 5G Anlagen nicht ziemlich weit vorn, weil sie schon sehr früh angefangen haben darein zu investieren? Den zweiten Teil verstehe ich auch nicht so ganz.

        Hatte Cisco da nicht so semi-freiwillig mitgemacht?

        Macht ja im Endeffekt keinen Unterschied, ob die Backdoor freiwillig oder unter Zwang eingebaut wurde. Daten abgreifen können NSA dann so oder so.

        • Helix 🧬@feddit.deOPM
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          1 year ago

          was Huawei bei den 5G Anlagen nicht ziemlich weit vorn, weil sie schon sehr früh angefangen haben darein zu investieren

          Ich meinte Erfahrung im Schreiben von Baseband-Firmware und Hardwaredesign im RF-Bereich allgemein. Die Firmen sind einfach schon viel älter und haben viel arkanes Wissen. Wobei Huawei ja auch Ingenieure abgeworben hat.

          Den zweiten Teil verstehe ich auch nicht so ganz.

          Na ja, du baust dir ja nicht gerne die Waffe, die dich irgendwann erschießen könnte, oder? Lieber welche, die du weit weg verschicken kannst. Ethische Bedenken gegen Überwachung werden wohl in Unternehmen in der europäischen Diaspora etwas ausgeprägter sein als in China.

          Macht ja im Endeffekt keinen Unterschied, ob die Backdoor freiwillig oder unter Zwang eingebaut wurde. Daten abgreifen können NSA dann so oder so.

          Korrekt, das wollte ich auch damit sagen. Das kann dir bei jeder Firma in jedem Land passieren. Nichts ist sicher.

          AAAAAAAAAAH

          :D

      • konodas@feddit.de
        link
        fedilink
        Deutsch
        arrow-up
        1
        ·
        edit-2
        1 year ago

        Mit reproducible Builds ist dann auch die Lieferkette sichergestellt. Ist also heutzutage alles möglich.

        Mir ist gerade unklar wie man sicherstellen kann dass die binary die am ende ausgeliefert wird aus dem quellcode kommt der mir gezeigt wurde, solange ich den code nicht auf einem gerät unter meiner kontrolle (von dem ich sicher bin dass es nicht manipuliert wurde) compilieren kann um sicherzustellen dass die binarys identisch sind?

        Würde mich interessieren, hast du dafür vielleicht einen link oder ein stichwort nach dem ich suchen kann?

        EDIT: oder bringen die tatsächlich eigene hardware mit die dann den raum nicht verlässt?

        • Helix 🧬@feddit.deOPM
          link
          fedilink
          Deutsch
          arrow-up
          2
          ·
          edit-2
          1 year ago

          solange ich den code nicht auf einem gerät unter meiner kontrolle (von dem ich sicher bin dass es nicht manipuliert wurde) compilieren kann um sicherzustellen dass die binarys identisch sind?

          Das geht in bestimmten Konstellationen, bei bestimmten Firmen, wenn man danach die Festplatte wiped und nur die Hashes/Signaturen mitnimmt. Ist alles sehr komplex. Du kannst natürlich auch eigene Hardware mitnehmen, bekommst den Code als Textdateien, kompilierst den Spaß vor Ort und packst die Binary wieder ein, den Code löschen sie dir wieder runter.

          Am Einfachsten wäre es ja, die Hardware-Hersteller würden ihren Code als Source-Available einfach zur Verfügung stellen. Das ist in manchen Hochsicherheitsbereichen auch Usus…

          Würde mich interessieren, hast du dafür vielleicht einen link oder ein stichwort nach dem ich suchen kann?

          “proprietary code audit room”? Ich spreche da nur aus einer einzigen persönlichen Erfahrung mit Microsoft, ich habe keine Ahnung wie das woanders funktioniert und spekuliere nur anhand dessen was ich mit dem Microsoft-Repräsentanten gequatscht hatte. Man konnte dort einzelne Seiten ausdrucken und sich Notizen auf einem Schreibblock machen, das war’s. Gibt wohl aber auch verschiedene Varianten des Audits. Das war damals in München und ist schon ne ganze Weile her…