Security des tages

Hat hier jemand ein unternehmen und verwendet SAP? Da ist „aus versehen“ eine hintertür von scheunentorausmaßen reingekommen, die es einem angreifer trotz digitaler signatur ermöglicht hat, beliebigen kram als SAP-softwäjhraktualisierung unterzujubeln:

Doch hier war das zweite Problem: „Die Signatur bei SAP wird nicht automatisch geprüft“, sagt Professor Schinzel. Das habe man tatsächlich übersehen – „bis wir eben darauf aufmerksam gemacht wurden“, sagt SAP-Sicherheitschef Hübner.

Ich wünsche auch weiterhin viel spaß beim glauben an die sicherheit von softwäjhr und an den datenschutz in einer gesellschaft, in der schaden durch softwäjhr zu keinerlei produkthaftung führt.

(Übrigens: HTTPS allein wäre kein schutz, denn viele CAs sind in kwasi-staatlicher hand und darüber hinaus wurden in der vergangenheit immer wieder CAs kompromittiert, so dass es angreifer gab und mit großer wahrscheinlichkeit immer noch gibt, die sich als SAP ausgeben können. TLS ist kaputt. Unrettbar kaputt. Schon die idee einer im webbrauser oder im betrübssystem eingebauten liste zentraler stellen war kaputt und hat nur korrupzjon und angreifbarkeit hervorgebracht. Es gibt keine mühelose sicherheit.)

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.