dog
Goto Top

Wen interessiert eine Sicherheitslücke (nicht)...

Seit Sommer dieses Jahres habe ich für ein Produkt - ich sage auch ganz offen welches: Time for Kids Schulfilter Plus - eine Sicherheitslücke der Kategorie "Totalschaden" auf dem Schreibtisch.
Die Software wird bei einem Großteil der deutschen Schulen eingesetzt - vorallem weil es eine der wenigen ist, die legal dort als Filter verwendet werden darf (und die noch grausigere Konkurrenz mittlerweile aufgegeben hat).

Bei dieser Software ist es aber möglich bei einem großen Teil der Installationen (vorallem den neueren) sie immer zu umgehen - dazu kommt, dass ein Unterrichtseinsatz wie vom Hersteller angedacht, so schlicht nicht möglich ist.
Wie reagieren also jetzt verschiedene Leute darauf?

  • Der Hersteller: "Jaja, wissen wir. Da kommt in 2 Wochen ein Update" - das war im Sommer, passiert ist nichts
  • Der für den Kauf verantwortliche: "Ich habe noch nicht gehört, dass die Lücke ausgenutzt wird, dann ist das kein Problem"
  • heise: Keine Reaktion
  • BSI: "Der Fisch ist zu klein, als dass wir uns darum kümmern würden" (sinng.) [ohne Kenntnis der Spezifika]
  • Bundesland: Darum kümmern wir uns nicht, machen Sie das mit dem Schulamt aus - und damit lande ich wieder bei dem für den Kauf verantwortlichen.


Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone ist?

Content-ID: 157875

Url: https://administrator.de/contentid/157875

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

tikayevent
tikayevent 03.01.2011 um 15:10:25 Uhr
Goto Top
Ansich ist es nur eine Sache des Herstellers. Und wenn er nicht darauf reagiert, sollte man die Software einfach in die nächstbeste Rundablage heften. Der Einkäufer kann ja nichts dafür, weil er ja ansich nur eine Möglichkeit hat, Internet ja oder nein. heise hat damit absolut nichts zu tun, weil ja keine hochakute Sicherheitslücke ist, welche es ermöglicht, das System zu übernehmen, sondern man kann damit den Filter umgehen. Desweiteren ist es ne, ich nenns mal so, branchenspezifische Software. Stell dir mal vor, auf heise.de würde von jeder Software, welche im deutschen Markt genutzt wird, die Sicherheitslücken melden.

Die Filtersoftware soll den Lehrern auch nur die Arbeit mit dem Internet vereinfachen, die Aufsichtspflicht haben die weiterhin.

PS: Ich hab das Ding damals auch in der Schule im weg gehabt und fleißig umgangen. Meine Mitschüler wollten auch, aber warum sollte ich, war meine Lücke, also hab ich die auch genutzt. Die Lehrer haben die Benutzung auch hingenommen, weil die wussten, dass ich effektiv mehr Ahnung vom Schulnetz durch Beobachtung hatte als die von der Administration.
60730
60730 03.01.2011 um 15:12:09 Uhr
Goto Top
Moin Dog,


Bei dem Thema und wenn das Scheunentor bei deutschen Schulen std. ist - würde ich doch die anderen 3 Buchstaben bemühen.

BSI

Good Luck
maretz
maretz 03.01.2011 um 15:19:37 Uhr
Goto Top
Was du natürlich machen kannst: Dem Hersteller nen freundlichen Link geben auf diesen Thread und dem erklären das du dort demnächst die Sicherheitslücke veröffentlichen wirst in der Hoffnung das dir jemand erklärt wie du die abschalten kannst. Da DER dir nicht hilft ist das ja der einzige Weg.

Ab und an werden die Hersteller dann aktiv wenn deren Probleme plötzlich bekannt werden....
H41mSh1C0R
H41mSh1C0R 03.01.2011 um 15:41:38 Uhr
Goto Top
Wie wird sie denn umgangen bzw. wie äußert sich diese Sicherheitslücke?
mrtux
mrtux 03.01.2011 um 18:47:18 Uhr
Goto Top
Hi !

Hört mir blos auf mit Schulnetzen....

Der Billigste (nein, nicht der Preiswerteste) bekommt den Zuschlag, muss mit minimalstem Budget, aus biologischen Abfallprodukten Sahne rühren und sollte möglichst dafür auch noch alle Zertifikate vorlegen. Ne Ne, das Spiel kenne ich schon zu genüge: Ausschreibungen von Schulen, da fasse ich nicht mehr hin, nicht für alles Geld der Welt....

Naja vielleicht hilft der Thread an sich ja schon, wie Maretz meint, einfach mal eine Mail (mit dem Link hierher) an den Hersteller posten. Öffentlichkeitsarbeit hilft....wenigstens manchmal...Wenn nicht, dann weisst Du danach wenigstens ganz genau wo Du stehst... face-wink

mrtux
nxclass
nxclass 03.01.2011 um 23:44:50 Uhr
Goto Top
wenn sie nicht grade in Windows oder dem iPhone ist
... erst recht dort nicht - wird ja eh nach einen Jahr ausgetauscht - vom Hersteller - da muss es doch in Rauch aufgehen.
maretz
maretz 04.01.2011 um 08:08:16 Uhr
Goto Top
Zumal grad bei den Mobil-Telefonen ja auch gilt: Es MÜSSEN immer mehr Features rein in die Büchse... Das die Akku-Lz dafür mittlerweile oft nur noch 1-2 Tage Standby ist - egal! Dafür kann ich ja mit meinem Telefon dann auch den Fernseher steuern o.ä... Und das all diese tollen Features auch potenzielle Fehlerquellen sind - och, wen intressierts... Was macht es schon wenn der Hersteller vergisst das es ne Sommer- und ne Winterzeit geben kann und der Wecker dafür mal eben bei der Zeitumstellung leider nicht mehr die deutsche Zeitzone beachtet ;)

Von daher: GRADE bei Mobil-Telefonen kann man es sich sparen die Hersteller auf Fehler hinzuweisen...
16568
16568 05.01.2011 um 12:12:17 Uhr
Goto Top
Zitat von @dog:
Helft mir mal - interessiert wirklich niemanden mehr eine Sicherheitslücke, wenn sie nicht grade in Windows oder dem iPhone
ist?

Entweder BSI oder die Sicherheitslücke WIRKLICH veröffentlichen.
(also auf wkw, schuelervz, div. Kiddie-Plattformen wie knuddels.de und so Kram halt; wenn Du da Hilfe brauchst, sag Bescheid :-P )

Nur dann wird der Leidensdruck so groß, daß der Hersteller reagiert.
Mach ich auch so, ist leider das Einzige, was gegen geistige Einzeller hilft...


Lonesome Walker
dog
dog 01.02.2011 um 18:58:53 Uhr
Goto Top
Kleines Update.

Die Antwort des BSI ist heute gekommen und war sinngemäß:

Wir kennen die Software nicht [und wollen sie auch gar nicht kennen]. Fragen Sie jemand anderes.
Die genaue Beschreibung hatte ich diesmal nicht angefügt.