Meine Meinung:
Wenn ihr den Quellcode nicht auditiert, könnt ihr das gar nicht wissen.
inb4 Sicherheitslücke und Schlagzeile “Telekom muss einräumen: Versäumnisse bei Sicherheitschecks verantwortlich für feindliche Übernahme von 5G durch chinesische Hacker”
Gilt halt nur leider für so ziemlich alle Anbieter von
5G Antennenirgendwas. Den einzigen Vorteil, den man bei Nokia und Ericsson hat, ist, dass die juristisch nicht im “Feindesland” liegen, die auch gerne mal schnuppern, wie das bei China und unseren amerikanischen Freunden der Fall ist.Kennt man ja aus der Vergangenheit zuhauf von Cisco.
Nicht direkt. Bei vielen Großkunden haben die die Möglichkeit, sich den Code in speziell dafür ausgestatteten Räumen anzuschauen. Da gehen dann ein paar Entwickler und Sicherheitsexperten ohne irgendwelche technischen Geräte in einen Faradayschen Käfig, nachdem sie durchsucht wurden. Sie schauen sich den Code an und machen sich Notizen. Dann geben sie die Notizen der Firma, die die Software herstellt. Die Notizen werden dann durchgeschaut und schließlich der Firma, die das Audit durchführt, zur Verfügung gestellt.
Mit reproducible Builds ist dann auch die Lieferkette sichergestellt. Ist also heutzutage alles möglich.
Das ist sicher nicht der einzige Vorteil. Die haben auch mehr Erfahrung und sind allgemein eher daran interessiert, dass sie selbst keiner ausspioniert.
Hatte Cisco da nicht so semi-freiwillig mitgemacht?
Mir war immer mal so, als wenn Huawei das Angebot auch mal unterbreitet hat. Da ich aber nichts entsprechendes mehr finden kann, gehe ich davon aus, dass ich mir da einfach irre.
Korrigier mich, wenn ich falsch liege, aber was Huawei bei den 5G Anlagen nicht ziemlich weit vorn, weil sie schon sehr früh angefangen haben darein zu investieren? Den zweiten Teil verstehe ich auch nicht so ganz.
Macht ja im Endeffekt keinen Unterschied, ob die Backdoor freiwillig oder unter Zwang eingebaut wurde. Daten abgreifen können NSA dann so oder so.
Ich meinte Erfahrung im Schreiben von Baseband-Firmware und Hardwaredesign im RF-Bereich allgemein. Die Firmen sind einfach schon viel älter und haben viel arkanes Wissen. Wobei Huawei ja auch Ingenieure abgeworben hat.
Na ja, du baust dir ja nicht gerne die Waffe, die dich irgendwann erschießen könnte, oder? Lieber welche, die du weit weg verschicken kannst. Ethische Bedenken gegen Überwachung werden wohl in Unternehmen in der europäischen Diaspora etwas ausgeprägter sein als in China.
Korrekt, das wollte ich auch damit sagen. Das kann dir bei jeder Firma in jedem Land passieren. Nichts ist sicher.
AAAAAAAAAAH
:D
Ergibt Sinn, danke dir für die Ausführungen ^^
Mir ist gerade unklar wie man sicherstellen kann dass die binary die am ende ausgeliefert wird aus dem quellcode kommt der mir gezeigt wurde, solange ich den code nicht auf einem gerät unter meiner kontrolle (von dem ich sicher bin dass es nicht manipuliert wurde) compilieren kann um sicherzustellen dass die binarys identisch sind?
Würde mich interessieren, hast du dafür vielleicht einen link oder ein stichwort nach dem ich suchen kann?
EDIT: oder bringen die tatsächlich eigene hardware mit die dann den raum nicht verlässt?
Das geht in bestimmten Konstellationen, bei bestimmten Firmen, wenn man danach die Festplatte wiped und nur die Hashes/Signaturen mitnimmt. Ist alles sehr komplex. Du kannst natürlich auch eigene Hardware mitnehmen, bekommst den Code als Textdateien, kompilierst den Spaß vor Ort und packst die Binary wieder ein, den Code löschen sie dir wieder runter.
Am Einfachsten wäre es ja, die Hardware-Hersteller würden ihren Code als Source-Available einfach zur Verfügung stellen. Das ist in manchen Hochsicherheitsbereichen auch Usus…
“proprietary code audit room”? Ich spreche da nur aus einer einzigen persönlichen Erfahrung mit Microsoft, ich habe keine Ahnung wie das woanders funktioniert und spekuliere nur anhand dessen was ich mit dem Microsoft-Repräsentanten gequatscht hatte. Man konnte dort einzelne Seiten ausdrucken und sich Notizen auf einem Schreibblock machen, das war’s. Gibt wohl aber auch verschiedene Varianten des Audits. Das war damals in München und ist schon ne ganze Weile her…