News Cybersicherheit: USA setzen Finanzierung des CVE-Programms doch fort

[ycube]

@Piktogramm Vllt habe ich das falsch formuliert und nicht ganz zu Ende gedacht aber ein Problem durch Finanzierung großer Techfirmen sehe ich nicht

 

[DaZpoon]

@Piktogramm : Danke fürs Korrigieren, ja Steuern meinte ich natürlich.

 

[Yosup]

Du meinst den absolut dilletantischen Abzug aus Afghanistan? Ja... auch so ein gutes Beispiel fuer das voellig ueberstuertzte ungeplante Handeln der aktuellen US Regierung.

Einschlägig dazu:

https://www.tagesschau.de/ausland/amerika/usa-trump-biden-afghanistan-101.html

Biden hatte im April 2021 angekündigt, alle US-Soldaten spätestens bis zum 11. September bedingungslos aus Afghanistan abzuziehen. Im Juli zog Biden das Datum für den vollständigen Abzug auf den 31. August vor. Aber bereits am 15. August hatten die Taliban die afghanische Hauptstadt Kabul eingenommen.

Es war die Bidenregierung, die den Abzug entschieden, die Lage fehleingeschätzt und das Vorgehen überstürzt hat. Schuld war: Trump. Ist doch klar!

 

[Alphanerd]

Du lachst, vielleicht meint sie auch einfach Steaksauce. 🙃 Das reiht sich gut an Trumps damaligen Vorschlag, Desinfektionsmittel zu trinken.

Ne, sie meinte schon AI.

Sagte vorher sinngemäß: haben erst seit kurzem Internet an der Schule und nun können Schüler von Ä one unterrichtet werden, verrückte Zeiten.

 

[FJazzi]

[...]
Abseits dieser Blase wird es halt echt duster. In der Realität stricken nicht wenige Firmen irgendwelche Programme zusammen und haben dennoch keine belastbare Ahnung von Programmiererung, Softwarearchitektur und/oder IT-Sec. Da ohne CWE und CVE und damit halbwegs formalisiert melden zu können dass ihr gammliger Softwarestack schlimmer stinkt als das örtliche Klärwerk ist fast nicht möglich.

Edit:
Eine Weiterentwicklung des Ganzen wäre aber durchaus sinnvoll. Das System und seine Prozesse sind ja schon etwas älter.

Ich kann deinen Punkt verstehen. Ich sehe es aber so, dass man so etwas nicht über ein CVE meldet. Eine erste Meldung sollte immer direkt an den Hersteller der Software gehen.
Fefe bezieht sich ja explizit auf den Markt, der sich rund um CVEs gebildet hat.

 

[iSight2TheBlind]

Halloooo?!?!
Der Chef von MITRE heißt "Yosry Barsoum" und dann spricht sich auch noch eine Frau "Moussouris" für das Programm aus!!!
Das sind doch keine amerikanischen Namen, das muss alles irgendso ein DEI-Programm sein und ist deshalb abzuschaffen!
Wenn es wichtig wäre, dann würde es von einem "John Cowboyman" oder einem "Richard "Dick" Ripper" geleitet werden, oder einer "Karen Sm..." ach nee, ne Frau in der Führung wäre ja auch wieder woke...

/s (für diejenigen, die es nicht rauslesen können)

Die amerikanische Dickt... Dikta... Regierung ist gerade besonders gut darin kopflos Dinge über den Haufen zu werfen, die sie langfristig in jedem Fall und oft auch kurzfristig in den Hintern beißen werden; Privatisierung bis zum Erbrechen und darüber hinaus!

 

[usb2_2]

Wenn es so wichtig ist und sich hier so viele beschweren, kann es die EU oder Deutschland doch einfach selbst machen. Warum sollen immer die Anderen alles tun?

Mehr öffentliche Gelder für alles, aber bitte nur von den Amerikanern. Danach lachen wir sie aus, weil sie so einen kaputtes Sozialsystem haben und nicht einmal mehr Sicherheitslücken in Software, die wir ebenfalls nutzen, schließen. Wie können die es wagen?

 

[FJazzi]

Wenn es so wichtig ist und sich hier so viele beschweren, kann es die EU oder Deutschland doch einfach selbst machen. Warum sollen immer die Anderen alles tun?
[...]

Gibt es von der EU:

Die EU betreibt mit CVD (Coordinated Vulnerability Disclosure) ein ähnliches Programm und könnte die entstehende Lücke damit füllen.

Link: https://csirtsnetwork.eu/homepage?tab=cvd
Quelle: https://www.golem.de/news/cve-finan...icherheitsluecken-gefaehrdet-2504-195410.html

 

[Alphanerd]

Danach lachen wir sie aus, weil sie so einen kaputtes Sozialsystem haben und nicht einmal mehr Sicherheitslücken in Software, die wir ebenfalls nutzen, schließen.

Ach daran liegt das. Und ich dachte, es waren die 1000 Mrd jährliche Steuererleichterungen für die obersten 5%.

Die müssen halt irgendwie hergeholt werden. Social Security, Cyber Security, das Essen für die Kinder, Bildung medicare, Medicaid uswusf.

 

[Atkatla]

@ycube
sehe ich ähnlich. Wieso müssen wieder Steuergelder verwendet werden, für Sachen um die sich die Firmen eigentlich selber kümmern sollten? Gerade den Firmen sollte es doch wichtig sein, ein sicheres System zu haben.

Weil es wäre unfassbar dämlich wäre, die Macht über Kontrollsysteme in die Hände derjenigen zu legen, die damit überprüft und zu Verbesserungen gebracht werden sollen.

 

[usb2_2]

@Alphanerd was hat das miteinander zu tun? Welchen Anspruch haben wir hier auf deren Geld und Leistung?

Selbst ist der Mann, abhängig ist der Europäer. Schon klar, dass die nicht viel zahlen wollen. Warum auch, wenn es anders geht.

Man muss die Produkte der Amerikaner ja nicht nutzen und kaufen, wenn einem das nicht passt. Einfach für einen freien Markt und fairen Wettbewerb einsetzen und selbst Alternativen schaffen.

@FJazzi danke, dann verstehe ich nicht, warum im Forum einige so tun, als sei das einstellen hier ein großes Problem.

 

[Alphanerd]

was hat das miteinander zu tun? Welchen Anspruch haben wir hier auf deren Geld und Leistung?

Ein Riesenteil der US Exporte liegt in SW und SW Abos.
Klar müssen die nicht sicher sein, aber umso schneller werden sie abgewickelt und ausgetauscht.

Selbst ist der Mann, abhängig ist der Europäer. Schon klar, dass die nicht viel zahlen wollen. Warum auch, wenn es anders geht.

Populismus.

Einfach für einen freien Markt und fairen Wettbewerb einsetzen

Das haben in der EU und der gesamten freien Welt. Nur die USA steigen ohne Not aus diesem System aus.

 

[Caramon2]

Cool, endlich keine neuen Bugs mehr. Das ist der Fortschritt, den Politik bringen soll!.

Gleiche Argumente wie damals beim C-Netz: Das galt als sicher, weil verboten war es zu hacken.

 

[Piktogramm]

Ich kann deinen Punkt verstehen. Ich sehe es aber so, dass man so etwas nicht über ein CVE meldet. Eine erste Meldung sollte immer direkt an den Hersteller der Software gehen.
Fefe bezieht sich ja explizit auf den Markt, der sich rund um CVEs gebildet hat.

Ja die erste Meldung an den Hersteller, wo dir in Deutschland eine Anzeige wegen des Hackerparagraphs droht, die Sektretär·innen entsprechende Meldungen für Spam halten und keine Prozesse für sowas bestehen, ..
CVE ist/war nicht toll, aber der Istzustand, die Gesetzeslage ist derart kaputt, dass es mitunter schlicht der bessere Prozess ist/war.

Zudem es hilft ja nix das ersatzlos zu beerdigen. Schlangenöl und Compliencebullshit werden weiter betrieben, Bugreports der Hölle aus Unverständnis aber mit "AI" wird es auch weiter geben.

Was im Zweifelsfall jetzt kaputt ist, ist dass man eine Meldung an Pfuscherbude + BSI machen kann mit:
"Euer als Medzinprodukt vertriebene Jauche stinkt nach CVE-2021-44228 (CVSS v3: 10.0) und hängt in öffentlichen Netzen." Ohne CVE + Bewertung müsste man die Dokumentation zum Bug finden, und hinlänglich erklären wie kaputt es ist und welche Auswirkungen es hat. Wobei die Aussicht kritische Bugs dokumentiert zu bekommen bei kommerzieller Software nahezu ausgeschlossen ist und man dann jedes fuckingmal über die Schwere diskutieren muss.

 

[Renatius]

Ach ja ..... Die USA geleitet von kurzsichtigen unfähigen Multimillionären ....

Nen Elefant im Porzellanladen ist nichts dagegen

Ist euch Mal aufgefallen das in den USA die Leute auf dem jeweiligen Gebiet die was zu sagen haben eigentlich genau das Gegenteil sind , nicht nur das sie keine Ahnung haben aber dafür dann immer genau das Gegenteil machen wofür sie eigentlich da sind

Ist ein "globales" Phänomen, zumindest in der "westlichen Welt".

 

[Cool Master]

Das CVE-Programm war von Anfang an ein Trugschluss. Eine ID allein bringt nichts, wenn sie keinerlei Aussage über die reale Ausnutzbarkeit oder das tatsächliche Risiko in einer konkreten Umgebung trifft. Und CVSS? Noch schlimmer – pseudoobjektive Zahlen, die in Wahrheit extrem subjektiv sind und je nach Interpret ganz anders ausfallen. Ohne solides Vulnerability Management und passendes Risiko-Management, das den Kontext versteht, bringen CVE und CVSS exakt: null. Das ist nun evtl. die Möglichkeit ein Neustart zu wagen und ein besseres System aufzubauen.

 

[rvnbld]

Ich höre immer Neustart und lese Trump-Regierung. Erkenne die Zielkonflikte, bevor du die Parameter definierst.

 

[Tyl]

Warum die Aufregung hierzu?
Das sollte als günstige Gelegenheit betrachtet werden.
Spezialisiert euch auf IT Sicherheit und der Rubel rollt.

 

[Piktogramm]

Das CVE-Programm war von Anfang an ein Trugschluss. Eine ID allein bringt nichts, wenn sie keinerlei Aussage über die reale Ausnutzbarkeit oder das tatsächliche Risiko in einer konkreten Umgebung trifft. Und CVSS? Noch schlimmer – pseudoobjektive Zahlen, die in Wahrheit extrem subjektiv sind und je nach Interpret ganz anders ausfallen. Ohne solides Vulnerability Management und passendes Risiko-Management, das den Kontext versteht, bringen CVE und CVSS exakt: null.

Eine Kennzahl hat die selben Probleme wie alle anderen Kennzahlen auch.., als wäre es möglich einen komplexen Sachverhalt ohne Verluste auf eine Zahl zu komprimieren.
Ich will mir gar nicht ausmahlen, wenn man mittlerem Management und aufwärts irgendwie erklären soll, wieso man jetzt mal 2..100 Personentage auf einen abstrakten Bug werfen sollte. Das formalisierte: Hier Bericht (den du eh nicht verstehst), hier die orang/rot unterlegte Zahl dazu, und übrigens die Existenz und Funktionsweise des Bugs ist oder wird öffentliches Wissen sein.

Kannste ja voll vergessen, dass die Anzug tragende Zunft ohne diese Formalisierung Budget verteilt. Dann verrecken die kritischen Fehler halt demnächst genauso wie die die Kleinen. -.-

Das ist nun evtl. die Möglichkeit ein Neustart zu wagen und ein besseres System aufzubauen.

Es wird aber kein Neustart versucht, sondern es wird einfach nur kaputt gehauen.

 

[SweetOhm]

Yippie Aye Yay , Hauptsache den Colt im schön locker im Halfter bei den Cowboys ...