Fragen? Antworten! Siehe auch: Alternativlos
Researchers are purposefully placing bugs in open source software during the development stages, so that when code appears in completed products, those same researchers can highlight the flaws and profit from them where companies are willing to pay, Anderson has told TechWeekEurope. He claimed to know of several projects where this has happened, but declined to name names.
Mit "companies" sind hier die 0-day-Buden gemeint, über die wir uns auch in Alternativlos 25 unterhalten hatten. Ross Anderson ist ein britischer Professor und einer der coolsten Leute, die es auf dieser Welt gibt. Wer das nach der Lektüre seines großartigen Buches "Security Engineering" nicht auch findet, für den habe ich noch eine kleine Anekdote.Das Bundesinnenministerium hatte eine Tagung organisiert, bei der es um Trusted Computing gehen sollte, Palladium war damals das Stichwort, und die Experten warnten vor Orwellschen Zuständen und erinnerten an die Vorgängertechnologie, bei der jede Intel-CPU eine eindeutige Seriennummer haben sollte, die per Software abfragbar ist. Das hatte ein öffentlicher Aufschrei verhindert, und das war der Präzedenzfall für Palladium, was im Wesentlichen eine Microsoft-Initiative war. Microsoft sah schlicht, dass sie den Kampf gegen Viren und Würmer verloren haben, solange man ihre Lösung Code Signing per Manipulation der Boot-Chain umgehen kann, wofür damals Software öffentlich vorgeführt worden war. Also musste das Code Signing früher ansetzen, schon im BIOS, und das Konzept dafür hieß Palladium. Das Innenministerium war besorgt und lud zu dieser Veranstaltung ein.
Als Experten waren u.a. ein Pressefuzzy von Microsoft geladen, und Ross Anderson, und vom CCC war auch jemand dabei, so kam ich als Kofferträger in die Veranstaltung rein. Der Pressefuzzy von Microsoft hielt zuerst seine Präsentation, wo er mit Powerpoint ein Multimedia-Desaster an die Wand projizierte, so mit animierten kleinen Viren, wie in der alten Zahnpastawerbung, die dann am Rechner hochkletterten, es war grotesk. Und danach war Ross Anderson dran. Der Projektor wurde ausgeschaltet. Jemand trug einen OH-Projektor rein. Ross Anderson legte handgemalte Folien auf. Handgemalt! Mit farbigen Filzstiften! Verschiedene Textpassagen mit anderen Farben, je nach Wichtigkeit. Das war so ein Kontrastprogramm, dass das Publikum erstmal ihren Kulturschock überwinden musste. Aber niemand sagte was, und Ross zog das mit einer professoralen Coolness ab, die ich so noch nie irgendwo anders gesehen habe. Der Mann rockt einfach.
Oh und man muss wissen, dass er an der Cambridge University eine Abteilung für Sicherheitsforschung aufgebaut hat, die seit Jahren die Bankindustrie geradezu vorführen, weil sie nacheinander alle Generationen von Chip&Pin-Karten und zwischendurch einige Hardware-Kryptomodule zerlegt haben. Von der Gruppe kommen auch häufig Hacker und tragen auf dem CCC-Congress vor. Gute Leute, diese Gruppe.