Aussehen
Einloggen
[c] [meta] [fefe]

/fefe/ – Fefes Kommentarfunktion

Antwort erstellen

(≤ 4)



[Zurück]
  • [l] Genosse Krasnov dreht dem CVE-Programm bei MITRE das ... Effe ## Mod Wed, 16 Apr 2025 08:35:30 GMT Nr. 153899
    fefe33.jpg
    JPG 514×640 181.0k
    Genosse Krasnov dreht dem CVE-Programm bei MITRE das Geld ab [0].

    CVEs sind Datenbankeinträge über bekannte Sicherheitslücken. Auch betroffen ist das CWE-Programm, das ist ein Klassifizierungsschema für bekannte Arten von Sicherheitslücken.

    Ist das jetzt die Apokalypse für IT-Security? Ja und nein. Das zerschießt einmal die Geschäftsmodelle der ganzen inkompetenten Flachhobel, die Security und Compliance nicht auseinanderhalten können, und unter dem Security-Label Compliance-Theater verkaufen. Mich betrifft das nicht.

    Die CVEs sind in letzter Zeit eh zu einer Art Währung verkommen, wo Open-Source-Programmierer mit "KI"-generierten Falschmeldungen geradezu erpresst wurden.

    In der Auswirkung auf Softwarequalität haben CVEs meiner Ansicht nach nicht viel beigetragen, waren sogar kontraproduktiv, weil sie einen gut erreichbaren Trichter für Ausgaben in IT-Security geschaffen haben, der dann von tatsächlich sinnvollen und notwendigen Dingen abgelenkt haben.

    Heutzutage bestehen IT-Security-Investitionen häufig aus Maßnahmen wie "wir lassen ein Tool laufen, das guckt mal durch unsere Bibliotheken, ob da was veraltetes dabei ist", nur halt dass der nicht auf Veraltung checkt sondern auf "sind da bekannte CVEs drin", was nicht das Gleiche ist. Und so ist am Ende die Software unsicher aber alle sind sicher. Der Hersteller hat Geld für IT-Security ausgegeben, ein Toolhersteller hat sein überflüssiges Theater-Tool verkauft, das nichts gebracht hat, ein paar Berater haben noch Kohle für SBOM-Theater extrahiert. Tatsächliche Sicherheit ist nicht herbeigeführt worden.

    CWEs sind ein bisschen besser aber ist im Wesentlichen auch bloß ein Verwaltungs-Wasserkopf mit dem Ziel, nicht alle Lücken schließen zu müssen, sondern zu verhandeln anfangen zu können, welche Lücken denn jetzt besonders schlimm sind und nur die zu bearbeiten, wenn überhaupt.

    Wenn jetzt dieses ganze Schmarotzer-Ökosystem stirbt, das um CVEs entstanden ist, wäre das unter dem Strich glaube ich ein großer Gewinn für die IT-Security insgesamt.

    Abgesehen davon: Selbst WENN man davon ausgeht, dass CVEs sinnvoll und nützlich und habenswert sind, wieso macht man sich dann ohne Not von der US-Regierung abhängig? Tausende von Klitschen drucken quasi Geld mit "Threat Intelligence" und Such-Tools, wieso gründen die nicht eine unabhängige Genossenschaft und jeder zahlt da ein paar Dollar ein und fertig?

    Sorry, ich sehe hier keine Apokalypse. Ich sehe hier eine potentielle Selbstheilung. Mit Firmen, die von CVE-Datenbanken profitiert haben, habe ich kein Mitleid und ihr solltet auch keines haben.

    [0] https://infosec.exchange/@briankrebs/114343835430587973

    https://blog.fefe.de/?ts=9901aa7b
  • [l] Update Effe ## Mod Wed, 16 Apr 2025 08:40:32 GMT Nr. 153902 
    @@ -9 +9 @@
    -In der Auswirkung auf Softwarequalität haben CVEs meiner Ansicht nach nicht viel beigetragen, waren sogar kontraproduktiv, weil sie einen gut erreichbaren Trichter für Ausgaben in IT-Security geschaffen haben, der dann von tatsächlich sinnvollen und notwendigen Dingen abgelenkt haben.
    +In der Auswirkung auf Softwarequalität haben CVEs meiner Ansicht nach nicht viel beigetragen, waren sogar kontraproduktiv, weil sie einen gut erreichbaren Trichter für Ausgaben in IT-Security geschaffen haben, der dann das Geld von tatsächlich sinnvollen und notwendigen Dingen weggesaugt hat.
    @@ -11 +11 @@
    -Heutzutage bestehen IT-Security-Investitionen häufig aus Maßnahmen wie "wir lassen ein Tool laufen, das guckt mal durch unsere Bibliotheken, ob da was veraltetes dabei ist", nur halt dass der nicht auf Veraltung checkt sondern auf "sind da bekannte CVEs drin", was [i]nicht das Gleiche ist[/i]. Und so ist am Ende die Software unsicher aber alle sind sicher. Der Hersteller hat Geld für IT-Security ausgegeben, ein Toolhersteller hat sein überflüssiges Theater-Tool verkauft, das nichts gebracht hat, ein paar Berater haben noch Kohle für SBOM-Theater extrahiert. Tatsächliche Sicherheit ist nicht herbeigeführt worden.
    +Heutzutage bestehen IT-Security-Investitionen häufig aus Maßnahmen wie "wir lassen ein Tool laufen, das guckt mal durch unsere Bibliotheken, ob da was veraltetes dabei ist", nur halt dass der nicht auf Veraltung checkt sondern auf "sind da bekannte CVEs drin", was [i]nicht das Gleiche ist[/i]. Und so ist am Ende die Software unsicher aber alle sind happy. Der Hersteller hat Geld für IT-Security ausgegeben, ein Toolhersteller hat sein überflüssiges Theater-Tool verkauft, das nichts gebracht hat, ein paar Berater haben noch Kohle für SBOM-Theater extrahiert. Tatsächliche Sicherheit ist nicht herbeigeführt worden.

  • [l] Update Effe ## Mod Wed, 16 Apr 2025 08:46:16 GMT Nr. 153905 
    @@ -20,0 +21,2 @@
    +[b]Update[/b]: Kris dazu [1].
    +
    @@ -21,0 +24 @@
    +[1] https://infosec.exchange/@isotopp/114346257601517383

  • [l] Update Effe ## Mod Wed, 16 Apr 2025 09:01:09 GMT Nr. 153910 
    @@ -22,0 +23,2 @@
    +[b]Update[/b]: phk dazu [2]. Ein Mann nach meinem Geschmack, wenn ihr euch mal seine Forderungen anschaut.
    +
    @@ -24,0 +27 @@
    +[2] https://fosstodon.org/@bsdphk/114346662385723066

  • [l] Felix Wed, 16 Apr 2025 09:33:21 GMT Nr. 153919
    >>153910
    >2. Mandatory recalls of unsafe software products.
    Diese funktionieren ja schon bei Nicht-Software-Produkten[0] allerbestens.

    --
    [0] Pkws, Katzenfutter, Nokia-Schlaufon-Akkus, Wildschweinfleisch in Dosen etc.
  • [l] Felix Wed, 16 Apr 2025 09:36:52 GMT Nr. 153920
    >>153910
    Auch schön:
    https://fosstodon.org/@smlx/114346840487077661
  • [l] Felix Wed, 16 Apr 2025 11:49:03 GMT Nr. 153936
    Am lustigsten findet Felix, daß bei seinen Kunden immer diese ganzen übelst teuren Security Tools abkacken, wenn NIST mal kurz Urlaub macht. Diese Anbieter kopieren einfach nur die Daten, die NIST von den oft ehrenamtlichen Security-Forschern eingesammelt hat, und nehmen dafür absurd viel Geld.
  • [l] Felix Wed, 16 Apr 2025 11:49:56 GMT Nr. 153937
    >>153920
    Es haftet der, der ein Gerät mit dem Code drauf verkauft. Es haftet nicht der, der Tarbälle im Web veröffentlicht. Fertig ist die Laube.
  • [l] Felix Wed, 16 Apr 2025 13:14:27 GMT Nr. 153949
    >Der Linux Kernel hat nicht ohne Grund bei dem ganzen CVE Zeug nicht mitgemacht und sich auch geweigert, “Security” bugs anders als andere bugs zu behandeln. Das hat gut funktioniert.
    Hierzu auch curl:
    https://daniel.haxx.se/blog/2023/08/26/cve-2020-19909-is-everything-that-is-wrong-with-cves/
    https://daniel.haxx.se/blog/2023/09/05/bogus-cve-follow-ups/

    >Wenn eine CVE-Nummer so wichtig ist, wieso haben manche Bugs dann Namen?
    Weil neben der Curriculum-Vitae-Exposure-Nummer auch ein griffiger Name plus Farblogo sich im CV gut machen und dem Rekrutierer direkt ins Auge fallen. :/
  • [l] Update Effe ## Mod Wed, 16 Apr 2025 13:23:32 GMT Nr. 153951 
    @@ -24,0 +25,4 @@
    +[b]Update[/b]: Eine Bemerkung am Rande noch: Der größte Konsument der CVE-Datenbanken ist die US-Regierung. Veröffentlicht wird das bloß, weil in den USA kein Copyright auf amtliche Schriftstücke möglich ist, wie bei uns übrigens auch. Wenn man also das Geld schon ausgibt, kann man das auch öffentlich machen.
    +
    +Dazu kommt, dass die US-Regierung außer Compliance-Theater im Wesentlichen keinen Plan hat, insofern war das schon keine sehr kluge Maßnahme von Agent Orange.
    +

  • [l] Felix Wed, 16 Apr 2025 13:58:10 GMT Nr. 153954
    > wie bei uns übrigens auch
    Leider nicht.
  • [l] Felix Wed, 16 Apr 2025 14:28:47 GMT Nr. 153955 SÄGE
    > Der LOOONIX Kernel dies
    > Der LOOOONIX Kernel das
    > a-a-aber LOOOONIX!
  • [l] Felix Wed, 16 Apr 2025 14:40:22 GMT Nr. 153956
    >>153955
    Linus hat Recht mit seiner Aussage: Jeder Bug ist eine Vulnerability.
  • [l] Felix Wed, 16 Apr 2025 14:44:32 GMT Nr. 153957
    stolz.jpg
    JPG 597×715 43.8k
    >>153955
    Ganz genau! Der LOOOONIX Kernel!
    Problem damit?
  • [l] Felix Wed, 16 Apr 2025 14:59:23 GMT Nr. 153962
    Deswegen: Hurd!
  • [l] Felix Wed, 16 Apr 2025 15:40:54 GMT Nr. 153965
    >>153962
    Ja, wenn dir Loonix nicht spastisch genug ist, Mongo.
  • [l] Felix 🚽 Wed, 16 Apr 2025 20:32:37 GMT Nr. 153980
    Nette Menschen nutzen Plan 9.
[Zurück]
[c] [meta] [fefe]
Proudly made without PHP, Java, Perl, MySQL, Postgres, MongoDB and Node.js.
Quellcode