News Lapsus$: Samsung bestätigt Diebstahl von kritischem Quellcode

abcddcba · 7. März 2022

BrollyLSSJ schrieb:
Würde ich mir bei dem NVIDIA Hack auf jeden Fall wünschen, zumindest für Linux.

klar ... waere bestimmt "lustig", ein gehackter fork vom Quellcode, der dann zukuenftige Aenderungen/Updates/Fixes nicht bekommt - bestimmt ziefuehrend.

Donnerkind · 7. März 2022

Immer wenn ich „Quellcode“ lese, denke ich als erstes an eine verstopfte Toilette. „Quelltext“ oder „Source code“ klingen hübscher und vermischen nicht zwei Sprachen in einem Wort. 😇

edenjung · 7. März 2022

q0p schrieb:
Ich würde zu gerne wissen, wie leicht/schwer es die Hacker hatten...

Beim AMD Shop zum Beispiel kommt AMD nicht gegen einen Holländer an.

Doch letzte Woche haben sie ihn gekriegt.
Die Bestellungen über ihn wurden storniert.

Und die woche davor kam er nicht durch.

BrollyLSSJ · 7. März 2022

@abcddcba
Ich meinte schon offiziell open sourced von NVIDIA, nicht von der Hackergruppe. Also als Reaktion auf den Hack, weil die Gruppe ja von NVIDIA verlangt, die Treiber und Co. unter Open Source zu veröffentlichen. Also so, wie es AMD mit ihrem Treiber auch gemacht haben vor ein paar Jahren.

Termy · 7. März 2022

tollertyp schrieb:
Ach, du kennst Details zum Hack? Dann pack mal aus.

Hab ich das behauptet? Hättest du dir die Mühe gemacht auf den Link zu klicken hättest du erkannt, dass ich mich auf Erkenntnisse aus dem Hack, nicht zu dem Hack bezogen habe

mooks · 7. März 2022

m1key_SAN schrieb:
Es gibt einfach viel zu viele Möglichkeiten sich Zugang zu verschaffen, da bringen große Zertifizierungen nichts wie ISO9001, oder ISO27001 oder Common Criteria wenn es bei den Mitarbeitern schon fehlt!

Genau diesen Anspruch haben diese Zertifizierungen auch nicht. Wenn eine Firma nach ISO 27001 zertifiziert ist, bedeutet es nicht, dass die Firma auch sicherer ist. Damit bist du nur Zertifiziert, dass du nach dieser ISO ein Management betreibst. Leider verkauft das Marketing der eigenen Firma dies aber gerne als "Gütesiegel der Sicherheit". Aber eben Awareness bei den Mitarbeiter*innen ist eignetlich Teil dieser Norm.

erazzed schrieb:
Es wird einfach nicht ernst genommen oder die aufklärerische Wirkung solcher Trainings ist schon nach kürzester Zeit wieder verpufft.

Ja das ist der ewige Kampf des ISMS. Klappt erst ordentlich, wenn das Management durch ein ordentliches Risikomanagement sich nicht mehr rausreden kann und daher Ressourcen für die Informationssicherheit rausrücken muss. Genauso müssen die Trainings kontinuierlich durchgeführt werden und mit Kennzahlen auf Ihre Wirkung überprüft werden, sonst passiert eben genau das: Schulung -> alle nervös und melden jede Kleinigkeit -> halbes Jahr später Business as usual

Generell noch zum Hack:
Hätte sich Samsung an einen schon über 100 Jahre alten Grundsatz gehalten, wäre der Leak eventuell wesentlich weniger schlimm... Kerckhoffs’ Prinzip

m1key_SAN · 7. März 2022

erazzed schrieb:
manche Leute einfach zu ignorant

Genau das ist der Punkt ! Die Leute haben einfach kein Bock, wenn etwas nichts mit dem Projekt zu tun hat oder mit der direkten Arbeit.
Jedoch betrifft das Ihre Arbeit, das checken die einfach nicht !

RAZORLIGHT · 7. März 2022

Die Gruppe scheint nen Lauf zu haben...

Cool Master · 7. März 2022

m1key_SAN schrieb:
Jedoch betrifft das Ihre Arbeit, das checken die einfach nicht !

(Konzern) IT-Sicherheit betrifft jeden vom Azubi über Putzfrau bis zum CEO.

Ich verstehe es auch nicht, dass die Unternehmen noch nicht gepeilt haben, dass IT Sicherheit heute extrem wichtig ist. Alleine schon wegen Betriebsspionage wäre ich da ultra Paranoid.

m1key_SAN · 7. März 2022

mooks schrieb:
Genau diesen Anspruch haben diese Zertifizierungen auch nicht. Wenn eine Firma nach ISO 27001 zertifiziert ist, bedeutet es nicht, dass die Firma auch sicherer ist. Damit bist du nur Zertifiziert, dass du nach dieser ISO ein Management betreibst. Leider verkauft das Marketing der eigenen Firma dies aber gerne als "Gütesiegel der Sicherheit". Aber eben Awareness bei den Mitarbeiter*innen ist eignetlich Teil dieser Norm

Das mag stimmen, aber es ist eine Zertifizierung die mindestens zeigt, das man sich Gedanken macht.
Man schützt seine IP und Mitarbeiter können hier ganz schnell Informationen leaken, gewollt oder nicht gewollt. Die IT trifft es nicht immer!
Aber zwecks Zertifizierungen, ja klar immer nur wegen Marketing

das wusste ich seit Tag 1 in meiner Abteilung für was ich Zertifizierungen mache

Ich schau in internen reviews, trotzdem das die Sachen passen, Qualität will ich auch haben !

Weyoun · 7. März 2022

MasterAK schrieb:
Ihr würdet wahrscheinlich eine höhere Akzeptanz erreichen, wenn ihr dem Ding einen deutschen Namen geben würdet ...

Der war gut! :-)
Bei uns gibt es nur noch englische und denglische Bezeichnungen für Schulungen aller Art. Wir dürfen ja auf keinen Fall die Mitartbieter diskriminieren, die Deutsch nicht als Muttersprache reden.

Cool Master · 7. März 2022

@Weyoun

Im englischen muss man wenigstens nicht gendern

Mickey Cohen · 7. März 2022

nice, resultiert hoffentlich in vielen entsperrten bootloadern und rootbaren geräten

der Unzensierte · 7. März 2022

Die IT-Sicherheit in Unternehmen ist genau so sicher wie das schwächste Glied der Kette. Und das sind die teilweise mit beänstigender Inkompetenz ausgestatteten Mitarbeiter mit Zugang zum Firmennetzwerk. Was nützt eine Brandmauer wenn das Tor offen steht.

Daddy Clause · 7. März 2022

Ehrenmänner

mooks · 7. März 2022

m1key_SAN schrieb:
Das mag stimmen, aber es ist eine Zertifizierung die mindestens zeigt, das man sich Gedanken macht.

Ok ich habe es wohl etwas zu hart formuliert. Wollte die Norm natürlich nicht schlecht reden!

Ich bin selbst zertifizierter Manager und Auditor nach ISO 27001 und arbeite im ISMS.

Die Zertifizierung ist auf jeden Fall sinnvoll, aber nur der Erste Schritt um wichtige Strukturen und eben den grundsätzlichen Gedanken für mehr Informationssicherheit aufzubauen.

Wegen Marketing sich zu zertifizieren ist natürlich der falsche Ansatz. Würde das bei einem Audit aufkommen, dass das Marketing die eigentliche Triebkraft hinter der Zertifizierung ist, wäre das ein Abbruchgrund.
Meinte mit meine Marketinganmerkung eher: Firma erhält die Zertifizierung, Marketing bekommt das mit ->Fettes Siegel auf der HP "Wir sind nun sicher"

Relak · 7. März 2022

Daddy Clause schrieb:
Ehrenmänner

Wer? Die Hacker? Sicher nicht. Das sind ganz gewöhnliche kriminelle. Nicht mehr und nicht weniger. Ab in den Knast damit.

WaxWorm · 7. März 2022

Donnerkind schrieb:
Immer wenn ich „Quellcode“ lese, denke ich als erstes an eine verstopfte Toilette. „Quelltext“ oder „Source code“ klingen hübscher und vermischen nicht zwei Sprachen in einem Wort. 😇

Aber textus und codex sind doch beide lateinisch... 🙄

AGB-Leser · 7. März 2022

Dann gibs hoffentlich bald schicke ROMs, die man ohne Knox und Widevine zu triggern installieren kann

flaphoschi · 7. März 2022

So etwas wie kritische Quellcode sollte nicht existieren, nur kritische Private-Schlüssel und Passwort-Hashes.

KitKat::new() schrieb:
Quellcode Open Source machen und schon hat sich das Problem in Luft aufgelöst, aber das wäre ja nicht kapitalistisch genug 😀

Japp.

Sicherheitschips nach dem Prinzip der TCPA, TCG äh TPM:

Wir - die Hersteller - vertrauen Ihnen - den Kunden - nicht. Sie müssen uns aber vertrauen! Und hier sind die nützlichen Funktionen. Keine.

Dann setzt man das halt mit Netflix (DRM) und Windows 11 mit Zwang durch. Wenn die doofen Kunden nicht wollen. Und es gibt nützliche Sicherheitschips. Die mit dedizierter, klar umrissener Aufgabe. Etwa Festplattenverschlüsselung.

News Lapsus$: Samsung bestätigt Diebstahl von kritischem Quellcode

Rear Admiral

Lt. Commander

Admiral

Rear Admiral

Commodore

Lt. Junior Grade

Lt. Commander

Lt. Commander

Fleet Admiral

Lt. Commander

Vice Admiral

Fleet Admiral

Commander

Vice Admiral

Daddy Clause

Gast

Lt. Junior Grade

Lt. Junior Grade

Lt. Junior Grade

Commodore

Lt. Commander

Ähnliche Themen

Passend zum Thema