Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wen interessiert eine Sicherheitslücke (nicht)...

Mitglied: dog

dog (Level 4) - Jetzt verbinden

03.01.2011, aktualisiert 02.02.2011, 5207 Aufrufe, 9 Kommentare

Seit Sommer dieses Jahres habe ich für ein Produkt - ich sage auch ganz offen welches: Time for Kids Schulfilter Plus - eine Sicherheitslücke der Kategorie "Totalschaden" auf dem Schreibtisch.
Die Software wird bei einem Großteil der deutschen Schulen eingesetzt - vorallem weil es eine der wenigen ist, die legal dort als Filter verwendet werden darf (und die noch grausigere Konkurrenz mittlerweile aufgegeben hat).

Bei dieser Software ist es aber möglich bei einem großen Teil der Installationen (vorallem den neueren) sie immer zu umgehen - dazu kommt, dass ein Unterrichtseinsatz wie vom Hersteller angedacht, so schlicht nicht möglich ist.
Wie reagieren also jetzt verschiedene Leute darauf?

  • Der Hersteller: "Jaja, wissen wir. Da kommt in 2 Wochen ein Update" - das war im Sommer, passiert ist nichts
  • Der für den Kauf verantwortliche: "Ich habe noch nicht gehört, dass die Lücke ausgenutzt wird, dann ist das kein Problem"
  • heise: Keine Reaktion
  • BSI: "Der Fisch ist zu klein, als dass wir uns darum kümmern würden" (sinng.) [ohne Kenntnis der Spezifika]
  • Bundesland: Darum kümmern wir uns nicht, machen Sie das mit dem Schulamt aus - und damit lande ich wieder bei dem für den Kauf verantwortlichen.


Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone ist?
Mitglied: tikayevent
03.01.2011 um 15:10 Uhr
Ansich ist es nur eine Sache des Herstellers. Und wenn er nicht darauf reagiert, sollte man die Software einfach in die nächstbeste Rundablage heften. Der Einkäufer kann ja nichts dafür, weil er ja ansich nur eine Möglichkeit hat, Internet ja oder nein. heise hat damit absolut nichts zu tun, weil ja keine hochakute Sicherheitslücke ist, welche es ermöglicht, das System zu übernehmen, sondern man kann damit den Filter umgehen. Desweiteren ist es ne, ich nenns mal so, branchenspezifische Software. Stell dir mal vor, auf heise.de würde von jeder Software, welche im deutschen Markt genutzt wird, die Sicherheitslücken melden.

Die Filtersoftware soll den Lehrern auch nur die Arbeit mit dem Internet vereinfachen, die Aufsichtspflicht haben die weiterhin.

PS: Ich hab das Ding damals auch in der Schule im weg gehabt und fleißig umgangen. Meine Mitschüler wollten auch, aber warum sollte ich, war meine Lücke, also hab ich die auch genutzt. Die Lehrer haben die Benutzung auch hingenommen, weil die wussten, dass ich effektiv mehr Ahnung vom Schulnetz durch Beobachtung hatte als die von der Administration.
Bitte warten ..
Mitglied: 60730
03.01.2011 um 15:12 Uhr
Moin Dog,


Bei dem Thema und wenn das Scheunentor bei deutschen Schulen std. ist - würde ich doch die anderen 3 Buchstaben bemühen.

BSI

Good Luck
Bitte warten ..
Mitglied: maretz
03.01.2011 um 15:19 Uhr
Was du natürlich machen kannst: Dem Hersteller nen freundlichen Link geben auf diesen Thread und dem erklären das du dort demnächst die Sicherheitslücke veröffentlichen wirst in der Hoffnung das dir jemand erklärt wie du die abschalten kannst. Da DER dir nicht hilft ist das ja der einzige Weg.

Ab und an werden die Hersteller dann aktiv wenn deren Probleme plötzlich bekannt werden....
Bitte warten ..
Mitglied: H41mSh1C0R
03.01.2011 um 15:41 Uhr
Wie wird sie denn umgangen bzw. wie äußert sich diese Sicherheitslücke?
Bitte warten ..
Mitglied: mrtux
03.01.2011 um 18:47 Uhr
Hi !

Hört mir blos auf mit Schulnetzen....

Der Billigste (nein, nicht der Preiswerteste) bekommt den Zuschlag, muss mit minimalstem Budget, aus biologischen Abfallprodukten Sahne rühren und sollte möglichst dafür auch noch alle Zertifikate vorlegen. Ne Ne, das Spiel kenne ich schon zu genüge: Ausschreibungen von Schulen, da fasse ich nicht mehr hin, nicht für alles Geld der Welt....

Naja vielleicht hilft der Thread an sich ja schon, wie Maretz meint, einfach mal eine Mail (mit dem Link hierher) an den Hersteller posten. Öffentlichkeitsarbeit hilft....wenigstens manchmal...Wenn nicht, dann weisst Du danach wenigstens ganz genau wo Du stehst...

mrtux
Bitte warten ..
Mitglied: nxclass
03.01.2011 um 23:44 Uhr
wenn sie nicht grade in Windows oder dem iPhone ist
... erst recht dort nicht - wird ja eh nach einen Jahr ausgetauscht - vom Hersteller - da muss es doch in Rauch aufgehen.
Bitte warten ..
Mitglied: maretz
04.01.2011 um 08:08 Uhr
Zumal grad bei den Mobil-Telefonen ja auch gilt: Es MÜSSEN immer mehr Features rein in die Büchse... Das die Akku-Lz dafür mittlerweile oft nur noch 1-2 Tage Standby ist - egal! Dafür kann ich ja mit meinem Telefon dann auch den Fernseher steuern o.ä... Und das all diese tollen Features auch potenzielle Fehlerquellen sind - och, wen intressierts... Was macht es schon wenn der Hersteller vergisst das es ne Sommer- und ne Winterzeit geben kann und der Wecker dafür mal eben bei der Zeitumstellung leider nicht mehr die deutsche Zeitzone beachtet ;)

Von daher: GRADE bei Mobil-Telefonen kann man es sich sparen die Hersteller auf Fehler hinzuweisen...
Bitte warten ..
Mitglied: 16568
05.01.2011 um 12:12 Uhr
Zitat von dog:
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone
ist?

Entweder BSI oder die Sicherheitslücke WIRKLICH veröffentlichen.
(also auf wkw, schuelervz, div. Kiddie-Plattformen wie knuddels.de und so Kram halt; wenn Du da Hilfe brauchst, sag Bescheid :-P )

Nur dann wird der Leidensdruck so groß, daß der Hersteller reagiert.
Mach ich auch so, ist leider das Einzige, was gegen geistige Einzeller hilft...


Lonesome Walker
Bitte warten ..
Mitglied: dog
01.02.2011 um 18:58 Uhr
Kleines Update.

Die Antwort des BSI ist heute gekommen und war sinngemäß:

Wir kennen die Software nicht [und wollen sie auch gar nicht kennen]. Fragen Sie jemand anderes.
Die genaue Beschreibung hatte ich diesmal nicht angefügt.
Bitte warten ..
Ähnliche Inhalte
Datenschutz

Sicherheitslücken bei Stromtankstellen

Information von Penny.CilinDatenschutz

Hallo, ein weiterer Grund bezüglich E-Automobilität vorsichtig zu sein. Wie man lesen kann, ist auch hier die Sicherheit nicht ...

Webentwicklung

Für eine Konferenz sollen sich alle interessierten Teilnehmer über das Internet anmelden können

Frage von mozilofanWebentwicklung4 Kommentare

Meine Firma wünscht sich ein System, über das sich alle interessierten Teilnehmer onlíne für eine Konferenz anmelden können. Wie ...

Datenschutz

Sicherheitslücke im vernetzten Staubsauger-Roboter

Information von Penny.CilinDatenschutz5 Kommentare

Hallo, auch wenn es nur einen vernetzten Staubsauger-Roboter aus China betrifft, durch den Leak wurde zudem herausgefunden, welche Daten ...

Sicherheit

Nvidia-Sicherheitslücke - wie geht Ihr damit um?

Frage von DerWoWussteSicherheit10 Kommentare

Moin. Derzeit klafft in allen nvidia-Treibern außern den neuesten eine Sicherheitslücke, die den Nutzern gestattet, sich Adminrechte zu verschaffen, ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 9 StundenWindows 103 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 12 StundenAdministrator.de Feedback10 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...