7. Juli 2010

Manchen kann man es einfach nicht recht machen

Category: Hacking,Work — Christian @ 23:35

Microsoft beispielsweise. Erst mault der Softwarehersteller ständig über Full Disclosure, d.h. wenn Sicherheitslücken komplett für jeden zugänglich veröffentlicht werden (weil die bösen Hacker die Informationen ja auch lesen können), jetzt mault der Softwarehersteller über „Null Disclosure“, d.h. über Firmen die auf gefundenen Sicherheitslücken sitzenbleiben und Details nur gegen bares rausrücken.

Tja liebes Microsoft. Wer auf soviel Cash sitzt wie ihr muß vielleicht selbst mal ein vernünftiges Bounty-Programm („Prämien für gefundene Sicherheitslücken“) aufsetzen. Dann klappt es auch wieder mit dem „Responsible Disclosure“, d.h. außer dem Hersteller erfährt sonst niemand von der Lücke. Denn ganz ehrlich, Fehlersuche ist harte Arbeit geworden. Die Zeiten als man mit einem billigen selbstgebastelten Fuzzer noch wahre Exploitorgien finden konnte sind lange vorbei. Viele dieser Tests machen die Softwarehersteller inzwischen selbst.

Ob der Weg von VUPEN allerdings richtig ist, erst nach Lücken zu suchen und dann den Softwareanbieter unter Druck zu setzen entweder er zahlt oder die Lücken werden anderweitig veröffentlicht, muß ich allerdings bezweifeln. Und da kann ich wiederum Microsoft gut verstehen, die sich in diesem Fall vermutlich direkt erpresst vorkommen und fürchten für umfangreiche weitere Erpressungen die Tür zu öffnen.

Auf jeden Fall bleibt es spannend.


Tags: , , ,

Wikipedia: ID-10-T Error

Category: Fun,Offtopic,Wikipedia — Christian @ 22:41

Ich werde eine neue Kategorie einführen mit für mich lustigen Wikipedia-Artikel die im weitesten Sinne einen IT- oder naturwissenschaftlichen Bezug haben. Die meisten Artikel werden vermutlich aus der englischen Wikipedia kommen, weil die deutsche einfach keinen Humor hat und in der Regel schneller löscht als man Artikel verlinken kann. Aber egal. Mal sehen, was daraus wird.

Heute: ID-10-T Error

    ID-Ten-T Error (also seen as ID10T and ID107) is a term often used by tech support operators and computer experts to describe a user error, a problem that is attributed to the user’s ignorance instead of a software or hardware malfunction. It is a masked jab at the user: when ID-Ten-T is spelled out it becomes ID10T („idiot“). It is also known as a „Ten-T error“ or „ID:10T error“.

Bei Userfriendly gibt es einen im Wikipedia-Artikel verlinkten Comic dazu.

Nice.


Tags: ,