Mit Hoster unzufrieden - Was tun?

vb-server

Registered User
In deinem vorherigen Post ging es um das Wort veröffentlichen. Veröffentlichen heisst, dass es JEDEM zugänglich ist. Eine Meldung an einen Hersteller hingegen, ist weder die Aktion "veröffentlichen", noch sind die Informationen "öffentlich zugänglich".

Falls Du tatsächlich diese Bugs kennst (was ich übrigens sehr sehr stark anzweifle), und sie dem HERSTELLER meldest, entsteht dadurch definitiv KEIN wirtschaftlicher Schaden. Dieser würde hingegen entstehen, wenn jemand anders so schlau ist wie Du, und dieselbe Lücke findet, diese jedoch öffentlich (= für jeden einsehbar) macht. Durch dein Unterlassen hast Du dann verhindert, dass es einen Patch dafür gibt.
 
Last edited by a moderator:

Joe User

Zentrum der Macht
Selbstverständlich entsteht durch das Patchen der Bugs ein nicht unerheblicher wirtschaftlicher Schaden, denn solche Bugs werden von diversen Konzernen zum eigenen wirtschaftlichen Vorteil gegenüber Mitbewerbern genutzt.
Da ich direkt und indirekt von derartigen Vorgehen profitiere, werde ich wohl kaum helfen, derartige Bugs zu beseitigen. Mir reicht es die Bugs zu kennen und sollten sie meine Systeme betreffen, weiss ich wie ich sie beseitige oder umschiffe.
Desweiteren sind die Bugs hinreichend bekannt, also könnten die jeweiligen Hersteller ihre Produkte jederzeit patchen, wenn sie es denn wirklich wollen würden.


Security ist ein knallhartes extrem böses Geschäft und hat mit Deinen Bilderbuchwunschvorstellungen absolut nichts gemeinsam.


Willkommen im Reallife...
 

Huschi

Moderator
Staff member
<Moderation>
Ich betone, dass alle Äußerungen eines Users nicht die Meinung des Boardbetreibers, der Moderatoren oder anderen Users widerspiegeln.

Wir Moderatoren bitte darum nur Beiträgen zu melden, die beleidigend oder vorsätzlich fehlerhaft sind.

Bitte haltet Euch auch an eine der wichtigsten Regeln:
Don't feed the troll.
</Moderation>

PS: Ich stimme dem Text in den Klammern von vb-server zu.

huschi.
 

nexus

Well-Known Member
Ich muß jetzt nochmal etwas genauer nachfragen...

Allein die in diesem Jahr veröffentlichten Sicherheitslücken in den diversen Virtualisierungslösungen sprechen eine ganz andere Sprache und die waren nur die Spitze des Eisbergs. Ich kenne noch mindestens sieben unveröffentlichte Scheunentore in drei derzeit populären Virtualisierungslösungen. Andere kennen deutlich mehr.
Verstehe ich die Diskussion richtig, daß wir hier über Lücken in Softwaresystemen sprechen, die einen rechtswidrigen Einbruch in diese Systeme ermöglichen?

Ich bin leider kein Jurist, aber die Aussage:

Selbstverständlich entsteht durch das Patchen der Bugs ein nicht unerheblicher wirtschaftlicher Schaden, denn solche Bugs werden von diversen Konzernen zum eigenen wirtschaftlichen Vorteil gegenüber Mitbewerbern genutzt.
Da ich direkt und indirekt von derartigen Vorgehen profitiere, werde ich wohl kaum helfen, derartige Bugs zu beseitigen.
impliziert für mich, daß hier Kenntnisse über rechtswidriges Verhalten von Firmen oder Konzernen vorhanden sind und auch noch bewußt ein persönlicher (vermutlich materieller) Vorteil daraus gezogen wird. Das klingt für mich schon fast nach mittelbarer Täterschaft.

Wie gesagt, es ist nur meine subjektive Meinung, die auf meinem Rechtsempfinden aufbaut und nicht zwangsläufig auch den Tatsachen entsprechen muß...
 
Last edited by a moderator:

d4f

Kaffee? Wo?
Ich denke das ist hier eher umgedreht zu verstehen. Sagen wir ein Softwareunternehmen kennt einen Bug, und patcht ihn intern ohne es zu veröffentlichen. Dies ist nach den meisten Lizenzen erlaubt wenngleich generell zumal für Sicherheitslücken verpöhnt.

Falls nun der Bug von einem Dritten ausgenutzt wird werden dadurch die Konkurrenten geschädigt aber nicht die eigenen Systeme welche ja gepatcht ist.
Das wäre also über hinkenden Vergleich; du kaufst die gleiche Tür wie das Gewerbe nebenan aber findest raus dass durch einen Schlag in die linkere obere Ecke das Schloss aufspringt. Du wechselst das Scharnier, erzählst aber nichts dem Nachbarn. Wenn nun jemand mit Wissen um diese Lücke bei dir und beim Nachbarn versucht, kommt er erfolgreich beim Nachbar rein aber nicht bei dir.
Am nächsten Morgen klopfst du dann dem heulenden Nachbar beruhigend auf die Schulter, freust dich aber insgeheim dass er nun insolvent ist und du mehr Kunden kriegst.
 

nexus

Well-Known Member
Danke für die Erleuchtung ;)

Aus dieser Sichtweise betrachtet macht es natürlich Sinn.
Da sieht man mal wieder, wie schnell man manche Äußerungen fehlinterpretieren kann.
Danke @d4f
 

Joe User

Zentrum der Macht
Fiktives aktuelles Beispiel:

Nehmen wir an, Autozulieferer XY stellt Infotainmentsysteme und andere Steuergeräte für einen grossen deutschen Autohersteller her und ich möchte mir ein neues Fahrzeug besagten Herstellers oder alternativ einen Jeep kaufen.

Nehmen wir weiter an, XY hätte durch branchenübliche Wirtschaftsspionage frühzeitig von den gerade öffentlich bekannt gewordenen Bugs in den unter Anderem im Jeep verbauten Infotainmentsystemen und Steuergeräten erfahren und bei sich selbst verhindert/gepatched, ohne den Mitbewerber zu informieren. XY hat sich also quasi mit illegalen Mitteln (Wirtschaftsspionage) einen Wettbewerbsvorteil verschafft und gleichzeitig sicherheitsrelevante Bugs nicht dem Mitbewerber oder gar der Öffentlichkeit gemeldet.

Bin ich böse, weil ich durch "Vitamin B" von diesen Bugs erfahren habe und deshalb statt des Jeeps doch das deutsche Fabrikat gekauft habe?
Bin ich böse, weil ich diese Bugs "verschwiegen" habe und mein Wissen darum zu meinem eigenen "Vorteil" genutzt habe?

Nein, ich bin nicht böse, höchstens egoistisch.
Böse sind die Vollidioten beim Jeep-Zulieferer, welche selbst die grundlegendsten Sicherheitsmassnahmen (strikte physische Trennung zwischen Infotainment und Fahrzeugmanagement sowie der mindestens zwei Sicherheitskreisläufe) missachtet und zusätzlich auch die im CAN-Protokoll vorgesehenen Sicherheitsfunktionen ungenutzt gelassen haben.




Analog verhält es sich mit den Bugs in den Virtualisierungslösungen, oder den Türen im Beispiel von d4f.

BTW: Einer der VM-Bugs ist Gegenstand einer aktuellen Studie einer bekannten Sicherheitsforscherin.
Ich sagte es ja: Alles längst bekannte Bugs...
 

nexus

Well-Known Member
Danke auch dir Joe für diese schöne Analogie.
Im richtigen Kontext betrachtet machen auch die Argumente aus deinen bisherigen Posts in diesem Thread einen Sinn :D

Nein, ich bin nicht böse, höchstens egoistisch.
Gut auf den Punkt gebracht... ;)
 
Top