16. Juni 2010

UnrealIRCd mit Hintertür

Category: Hacking,Internet — Christian @ 19:02

Ich war ein paar Tage beruflich unterwegs und muss deshalb noch ein paar Beiträge nachschreiben. Aber keine Sorge, alles was sich so auf meiner Liste für das Blog angesammelt hat, wird hier die Tage auch nachgetragen.

Der UnrealIRCd hat eine Backdoor. Na gut, das kann ja mal passieren. Interessant in diesem Zusammenhang sehe ich vor allem drei Punkte:

1. Die Lücke wurde erst nach Monaten entdeckt. Das zeigt erstens wieder, dass eine Software nur weil sie Quelloffen ist, nicht automatisch sicherer sein muss. Insbesondere Source Code Audits sind gar nicht so einfach. Für PHP, Perl, Python und so traue ich das mir und meinen Kollegen hier noch gut zu. Bei C und Java wird es schon eng. Spätestens bei C++ und exzessivem Einsatz von Templates hört jedoch jedes Verständnis des Source Codes auf.

2. Jetzt kann man natürlich noch diskutieren, was für eine Source Code Verwaltung da eingesetzt wurde und warum die auch nichts bemerkt hat. Ist die so schlecht oder hat keiner aufgepasst oder wurde die Verwaltung gleich mitgehackt?

3. Und zu guter Letzt, warum wird Software nicht digital signiert. In dem Zusammenhang schreibt Heise: „Damit dieser Vorfall sich nicht wiederholt, wollen die Entwickler ihre Releases wieder mittels PGP/GPG signieren“. Also wurde wohl schon mal signiert. Warum jetzt nicht mehr? Faulheit oder Nachlässigkeit?

Tja, so wird das nichts mit der Open Source Security. Das haben kommerzielle Anbieter wie Microsoft schon lange gelernt. Da müssen die freien Entwickler noch nachziehen. Und so teuer ist eine digitale Signatur auch nicht. Genau genommen kostenlos weil alle benötigten Programme bei Linux schon vorhanden sind.

Ach ja, und für die Freunde von The Register: Nicht alles was mit „Unreal“ anfängt ist auch ein Shooter 🙂

7 Comments »

  1. Ja man hat es gemerkt, dass du „ein paar“ Tage weg warst. Es war ziemlich ruhig bei dir im Blog… 🙂

    Kommentar by PowerShell — 19. Juli 2010 @ 15:21

  2. Tja, leider muß ich ab und an sogar arbeiten 🙁

    Kommentar by Christian — 19. Juli 2010 @ 20:15

  3. Thank you for your sharing. I am worried that I lack creative ideas. It is your article that makes me full of hope. Thank you. But, I have a question, can you help me?

    Kommentar by Crear cuenta personal — 24. März 2025 @ 00:36

  4. Your point of view caught my eye and was very interesting. Thanks. I have a question for you. https://accounts.binance.com/ph/register-person?ref=B4EPR6J0

    Kommentar by sign up for binance — 24. März 2025 @ 07:08

  5. I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.

    Kommentar by free binance account — 25. März 2025 @ 21:43

  6. I don’t think the title of your article matches the content lol. Just kidding, mainly because I had some doubts after reading the article.

    Kommentar by ??????????? ? binance — 26. März 2025 @ 15:36

  7. Can you be more specific about the content of your article? After reading it, I still have some doubts. Hope you can help me. https://accounts.binance.com/pl/register-person?ref=YY80CKRN

    Kommentar by binance us register — 27. März 2025 @ 12:17

RSS feed for comments on this post.

Leave a comment

XHTML ( You can use these tags):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> .