1. #1
    Tagträumer
    Dabei seit
    Mai 2003
    Ort
    Marburg
    Beiträge
    4.890

    Post Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Wilfried Karl hat sich als Präsident der Zentralstelle für Sicherheit in der Informationstechnik (Zitis) erstmals öffentlich zu Wort gemeldet. Bei einer Fachkonferenz in Berlin skizzierte er den Aufgabenbereich der Entschlüsselungsbehörde und nannte Details zur Vorgehensweise, berichtet die Süddeutsche Zeitung.

    Zur News: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen
    Binde Dich an nichts, was Du nicht innerhalb von 30 Sekunden loswerden kannst!

  2. Anzeige
    Logge dich ein, um diese Anzeige nicht zu sehen.
  3. #2
    Lieutenant
    Dabei seit
    Nov 2007
    Beiträge
    748

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Es hat niemand vor eine Mauer zu bauen....

    Kennen wir....

  4. #3
    Ensign
    Dabei seit
    Jan 2003
    Ort
    Rheinhessen
    Beiträge
    211

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Genau den Spruch wollte ich auch grade bringen

  5. #4
    Cadet 2nd Year
    Dabei seit
    Aug 2017
    Beiträge
    16

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Sie wollen nicht, haben aber schon gekauft.
    Ich glaub denen nichts.

  6. #5
    Banned
    Dabei seit
    Sep 2005
    Beiträge
    3.049

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Zu dumm nur, dass der Bund schon seit geraumer Zeit fleißig Zero-Days einkauft. EINKAUFT! Die bezahlen Geld dafür -.-

  7. #6
    Commodore
    Dabei seit
    Okt 2008
    Beiträge
    4.969

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“
    Einer der vielen Gründe wieso die IT-Stellen beim Bund wenig beliebt sind ist die als wenig kompetent geltende Führung des Ganzen. Ich freue mich, dass diese Tradition fortgesetzt wird.

  8. #7
    Lt. Commander
    Dabei seit
    Jul 2012
    Beiträge
    1.375

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Es wurde nirgends gesagt, das Zitis keine 0-Day-Hacks kauft! Das ist so falsch! (edit: Vielleicht auch von Zitis gewollt, wer weiß)
    Die kaufen nichts vom Schwarzmarkt oder unseriösen Firmen. Das von seriösen Sicherheitsdienstleistern oder anderen Einrichtungen (FBI... die ich jetzt mal als seriös bezeichne) nichts gekauft wird bzw. überhaupt gar keine 0-Day-Hacks gekauft werden wurde nirgends gesagt. Nur kein Schwarzmarkt.

    Man hat nur eine von vielen Quellen ausgeschlossen. Und wenn ich jetzt was falsch Verstehe korrigiert mich.
    Geändert von ghostwriter2 (13.09.2017 um 19:23 Uhr)

  9. #8
    Cadet 4th Year
    Dabei seit
    Aug 2007
    Beiträge
    97

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Zitat Zitat von ghostwriter2 Beitrag anzeigen
    Man hat nur eine von vielen Quellen ausgeschlossen. Und wenn ich jetzt was falsch Verstehe korrigiert mich.
    Das nennt man dann überspezifisches Dementi.

  10. #9
    Rear Admiral
    Dabei seit
    Jun 2009
    Ort
    the Wired
    Beiträge
    5.964

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Zitat Zitat von Andy Beitrag anzeigen
    Seine Behörde wolle demnach keine Zero-Day-Exploits auf Grau- oder Schwarzmärkten kaufen. Mit unseriösen Firmen würde man nicht zusammenarbeiten.
    Überspezifisches Dementi? Heißt das, daß seine Behörde auf Weißmärkten 0-Days kaufen und mit seriösen Firmen zusammenarbeiten wird?

    €dit: Optimus91 hatte die gleiche Idee.
    No matter where you are ... everyone is always connected.

    Keinen Bock auf Überwachung? Freie, sichere Alternativen für OS, Browser, VoIP, E-Mail, IM & Co. bei PRISM Break.

  11. #10
    Lt. Junior Grade
    Dabei seit
    Apr 2005
    Beiträge
    325

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Gibt es irgendeine Moeglichkeit, wird sie auch genutzt

  12. #11
    Ensign
    Dabei seit
    Aug 2017
    Beiträge
    145

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Die wollen keine Exploits kaufen, die müssen es aber tun. Das wäre das Ergebnis der politischen Ausdrucksweise.
    Oder eine andere "seriöse" Behörde kauft diese Exploits und sendet diese zu...

    Zum Glück lässt die politische Ausdrucksweise immer großen Spielraum!?
    Das Muster bei solchen Aussagen ist jedenfalls immer gleich. Es brauch nur ein Wort um die Gutgläubigen etwas glauben zu lassen, was nicht der tatsächlichen Wahrheit entspricht.

    "Ich habe keinen Fernseher." -> "Meine Frau hat einen Fernseher, ich schaue aber mit."
    "Meine Frau hat kein Auto." -> "Ich habe zwei Autos, Eines nutzt hauptsächlich meine Frau."
    Geändert von DerPessimist (13.09.2017 um 22:19 Uhr)
    i7-8700 & GTX 1080 Ti
    Philips BDM4037UW & Acer Predator XB272bmiprz

  13. #12
    Commander
    Dabei seit
    Sep 2006
    Beiträge
    2.662

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Wenn die qualifiziertes Personal wollen, dann müssen sie auch mehr zahlen und vorallem ihre Anforderungen herunterschrauben. Selbst jemanden mit zig Jahren Beruferfahrung in der IT Sicherheitsbranche und Masterabschluss mit ca 3000€ brutto abspeisen ist relitätsfremd. Ein weniger qualifizierter Hacker wird in der freien Wirtschaft deutlich besser bezahlt

    Die Exploits werden so oder so verkauft, ob da jetzt eine Behörde nichts kauft fällt da garnicht ins Gewicht

    Zitat Zitat von ghostwriter2 Beitrag anzeigen
    Man hat nur eine von vielen Quellen ausgeschlossen. Und wenn ich jetzt was falsch Verstehe korrigiert mich.
    Dann muss man sich aber auch fragen woher die anderen Behörden, Organisationen, etc die Exploits her haben, wahrscheinlich genau aus diesen unseriösen Quellen. Was die Zusammenarbeit mit den anderen kostet wird ja auch nicht genannt, da muss man sich schon fragen ob dies die billigere Arbeitsweise ist indem man auf diese unseriösen Quellen verzichtet nur um politisch schön dazustehen
    Geändert von onetwoxx (13.09.2017 um 23:05 Uhr)

  14. #13
    Fleet Admiral
    Dabei seit
    Okt 2011
    Beiträge
    11.514

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Zitat Zitat von DeusoftheWired Beitrag anzeigen
    Überspezifisches Dementi? Heißt das, daß seine Behörde auf Weißmärkten 0-Days kaufen und mit seriösen Firmen zusammenarbeiten wird?
    "Seriöse Firmen" wie z.B. HBGary.

    Es ist tatsächlich eine bewährte Vorgehensweise, dass Sicherheitsbehörden Maßnahmen, die ihre Kompetenzen überschreiten würden, einfach an Privatunternehmen outsourcen.
    Wenn man sich die Hände nicht schmutzig machen will, schaltet man einfach Strohmänner dazwischen, die die Drecksarbeit für einen machen.

  15. #14
    Cadet 3rd Year
    Dabei seit
    Sep 2008
    Beiträge
    45

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Das Geld für die gesamt Aktion wäre sinnvoller in die Entwicklung und Verbesserung sicherer Verschlüsselung investiert.

  16. #15
    Lt. Commander
    Dabei seit
    Okt 2013
    Ort
    Berlin
    Beiträge
    2.032

    AW: Verschlüsselung: Zitis will keine Zero-Day-Exploits kaufen

    Zitat Zitat von ComputerBase
    In der Praxis bedeutet das allerdings: Wenn sich die Verschlüsselung selbst nicht knacken lässt, muss Zitis einen Staatstrojaner entwickeln. Das setzt allerdings voraus, dass die Behörde Sicherheitslücken in Betriebssystemen wie Windows, Android oder iOS ausnutzt, um die Malware einzuschleusen.
    Dieser Absatz lässt doch ein wenig am Sachverstand des Autors zweifeln. Der Staatstrojaner ist eine so genanntes Implant (ähnlich wie ein rootkit), der setzt erstmal gar keine Sicherheitslücken voraus.

    Wie der Staatstrojaner auf den Rechner kommt ist eine ganz andere Frage. Hier können Sicherheitslücken eine Rolle spielen, müssen aber nicht. In der Vergangenheit kam oft Social Engineering zum Einsatz (z.B. Email mit gefälschtem Absender und bösartigem Anhang), oder Man-In-The-Middle auf SSL mit gefälschten Zertifikaten. Da das immer schwieriger wird, werden auch Evil-Maid-Angriffe beliebter: Wenn die Zielperson ihr neues Handy im Versandhandel bestellt, braucht es halt einen Tag länger oder Notebooks dürfen plötzlich aus Sicherheitsgründen im Flugzeug nicht mehr ins Handgepäck sondern nur noch in den Frachtraum.

    Zitat Zitat von ComputerBase
    So erklärte er laut der Süddeutschen Zeitung: „Wir schaffen keine Sicherheitslücken, diese existieren bereits und sind seit Jahren bekannt.“
    Das ist in vielen Fällen auch korrekt so, nur wenige Android- (und inzwischen auch Windows-)Telefone sind auf einem aktuellen Sicherheitsstand. Und sowohl Smartphone- als auch PC-Hardwarehersteller lassen sich oftmals mehrere Jahre Zeit, gemeldete kritische Sicherheitslücken auch zu beheben, wenn überhaupt.

    Und selbst dort, wo ein 0-day-Exploit nötig wäre: Dann beauftragt man lieber einen externen Dienstleister oder bittet einen befreundeten Dienst, anstatt sich selber die Hände schmutzig zu machen. Je mehr Leute über einen 0-day Bescheid wissen, desto größer das Risiko, dass er publik wird.

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Forum-Layout: Feste Breite / Flexible Breite