 |
GPS Spoofing ...
|
Sortieren nach:
Datum - neue zuerst |
Datum - alte zuerst |
Bewertung
|
|
⇤
⇠
|
80 Beiträge Seite 3 von 4
1 2 3 4 |
⇢
⇥
|
|
|
|
|
Wenn Security Experten binnen 2 Tagen remote eine 757 "kapern" konnten
Was genau haben die denn "gekapert"? Das FMS? Die FADECs? Oder doch nur das Entertainment-System? Und wie weit waren sie dabei vom Objekt entfernt?
|
|
|
|
|
Das FMS. Von Honeywell in diesem Fall. Rein sind sie via ACARS.
Es ist Ihnen gelungen Code im System dauerhaft unterzubringen und zu verstecken. Dadurch konnten sie mit dem FMS kommunizieren, Flugpläne und Datenbanken manipulieren, Kommandos ausführen und Schadcode nachladen (https://conference.hitb.org/hitbsecconf2013ams/materials/D1T1%20-%20Hugo%20Teso%20-%20Aircraft%20Hacking%20-%20Practical%20Aero%20Series.pdf).
|
|
|
|
|
auch Dir Danke für die Folie... au Backe beim ersten Überfliegen... da sieht man einmal wozu eBay und XPlane für alles so gut sind ;-)
|
|
|
|
|
Das FMS. Von Honeywell in diesem Fall. Rein sind sie via ACARS.
Und wo ist da jetzt die Referenz zu der realen B757 aus dem zuvor geposteten Link? In den Folien sehe ich nur eine Laborumgebung mit bei EBay gekauften FMCs.
|
|
|
|
|
Hallo Andreas, bei meiner schriftlichen Theorieprüfung (handschriftlich ohne ankreuzeln von vorgegebenen Antworten) mussten wir noch Skizzen von der Gebirgen und Mittelgebirgen sowie der Fußsysteme Deutschlands zeichnen.
Bei meiner Fliegerei in Afrika vor GPS-Zeiten ohne VOR Stationen, max. NDB haben wir auch nach solchen großzügigen Auffanglinien navigiert und sind immer angekomme
|
|
|
|
|
in der Tat erkenne ich auch keine Referenz zum DHS Hack... aber... das was ich aus einer zweiten Slide von ihm erkennen kann (Präsentation bei Vereinigung Cockpit aus 2014) ist folgendes:
Sein Angriffsvektor sind LSP (loadable software parts). Die AMI Fleet Management Software (bekommt er frei per Post von ARINC zugeschickt?!?!? Und weil's so schön einfach war, bitte zwei Exemplare zusenden).
Über das Teledyne Wireless Ground Link System kann er dann all die Systeme manipulieren. Die Payload wird an verfügbaren Simulatoren erstellt. Die Software ist identisch. Mir sträuben sich die Haare, was die Sicherheit im RTOS da aussieht (alle Prozesse laufen als root in Kernel Threads).
Mangels Flugzeug hat er einen FMC in eine Drohne verpflanzt und die Payload damit erfolgreich getestet.
Daß er also über ACARS rein kommt, das halte ich für eher unwahrscheinlich. Es wird wohl WLAN oder 3G/4G sein. Da ich wette, daß die Remote-Anmeldung an so einer Konsole oder schlimmstenfalls einfach nur der Upload via FTP (im Worst Case, SFTP dürfte bestimmt viel zu neu sein *hust*) und die Authentifizerung bestimmt nur mit User/Passwort erfolgt (2-Faktor TOTP/ RFC 6238 dürften vermutlich ebenfalls unbekannt sein) sieht es technisch betrachtet, nach einem einfachen Ziel aus.
|
|
|
|
|
Hallo.
Ganz interessant in dem Context dieses Dokument aus Sept. 2017
https://rntfnd.org/wp-content/uploads/Norway-Comms-Auth-Report-GPS-Jamming-Sept-2017.pdf
Da hat die norwegische Telekommunikationsbehörde einen aktiven GPS Jammer (auf der anderen Seite der Staatsgrenze) aus der Luft vermessen. Interessante Nebenerkenntnis: GPS des Helis verliert Signal - IPAD des Piloten nicht, vermutlich weil es Glonass zusätzlich verwendet...
|
|
|
|
|
P.S.: in meiner mündlichen PPL Prüfung mussten wir noch.......
war die "schriftliche" so grenzwertig ?
|
|
|
|
|
Weder das DHS noch eventuell involvierte Dritte haben ein Interesse, zu Protokoll zu geben, was genau wem gelungen ist. Da bekommt man keine „Referenzen“. Die Folien sind im Kontext einer ganze Reihe von Arbeiten mit verschiedenen Angriffsvektoren und Exploits zu sehen. Öffentlich bekannt scheint mir relativ wenig zu sein. Der Vortrag von Hugo Teso ist der interessanteste und konkreteste, den ich bislang gefunden habe.
Und ja, das Ganze stand vernünftigerweise(!) in einer Laborumgebung statt. Das finde ich aber nicht unbedingt beruhigend. Das Ergebnis bleibt: Mittels ACARS ist es ihm laut eigener Aussage gelungen, sich dauerhaft in mehr als einem FMS (er hat Original-Code der Hersteller genutzt) einzunisten.
Nur damit das Szenario wirklich klar ist: Er hat sich per FR24 & Co. Targets rausgesucht, die er weltweit mittels SITA/ARINC-Services angreifen konnte. Alternativ konnte er mittels SDR innerhalb der eigenen Reichweite Flugzeuge angreifen. Und mein Lieblingsszenario „Air-to-Air“: Er hat eine Payload entwickelt, mit der er von bereits gekaperten FMS weitere Systeme angreifen konnte.
Welche Exploits er dazu genutzt hat und welche Flugzeugsysteme von dort aus für ihn angreifbar waren hat er nicht veröffentlicht. Es wäre für ihn auch ein schlechtes Geschäft, seine (potenziellen) Kunden in die Pfanne zu hauen. Die Bild-Spur zu den Folien ist hier und enthält weitergehende Informationen: https://youtu.be/wk1jIKQvMx8
|
|
|
|
|
Ach, weißte, Erwin, mein großes Latinum habe ich auch nur, weil ich vor der Notenbesprechung der gesamten Lateinklasse eine Runde Cola versprochen hatte. Und zum Abi meinte meine Englischlehrerin, ich würde niemals in meinem Leben richtig Englisch zu sprechen.
|
|
|
|
|
... auch so bist du mir lieb und wert !
deinen humor weiß ich zu schätzen.
|
|
|
|
|
....vermutlich aber eine Eins in BWL :-)
|
|
|
|
|
Guten Morgen,
nach einem schönen Flugsonntag ereilt einem der graue Montag morgen wieder...
Diese Poliitk des "unter Verschluß" haltens von Vulnerabilities ist aber genau das, was NICHT hilft. Hier täte die Luftfahrtindustrie sehr gut daran aus den Erfahrungen der digitalen Welt zu lernen. Stichwort: Full Disclosure. Fehler gehören nach einer Karenzzeit z.B. 90 Tagen an die Öffentlichkeit. Länger sollte es auch nicht sein sonst nutzen Marktteilnehmer es schamlos aus.
1. Systeme müssen offen und für jedermann zugänglich und nutzbar sein - gerade die für sicherheitsrelevante, kritische Bereiche wo Menschenleben dran hängen. Denn wenn eine Software, ein Update- oder Verschlüsselungs-Mechanismus wirklich sicher sind, dann kann man diese auch bedenkenlos veröffentlichen. Kerckhoff wurde ja oben schon genannt.
2. Jedes remote oder mit einem Netzanschluß ausgestattete Gerät muß verbindlich ein Verfallsdatum aufgedruckt bekommen, damit gewisenhafte Hersteller die Chance erhalten, Software zu fixen und die schwarzen Schafe der Branche identifiziert werden können, die Ihren Dreck lieber billig offshore oder von Studenten machen lassen.
3. Förderung des Einsatzes von Open Source Software oder noch besser: Förderung der einzelnen Projekte selbst, damit die Basis für ein Peer Review möglichst breit ist. Hinter vielen weltweit gebrauchten und wichtigen Komponenten stecken leider viel zu wenige Köpfe.
Aber der Druck einer auf Herrschaftswissen angewiesenen Branche, inkompetente und die Relevanz des Ganzen nicht erfassende Funktionäre und schlicht desinteressierte und noch weniger kompetente Politiker haben alle gemeinsam kein Interesse an einer Verbesserung des Status quo... bis die ersten Script Kiddies mit Equpiment von wenigen 100 USD La Guardia oder ein paar SIDs oder STARs ein wenig nährer an Ground Zero rücken.
Mir wird wirklich Angst und Bange, wenn ich solche Meldungen im Ticker lese, wo ich mich an den Kopf packe und frage, ob die BWL- und Marketing-Fuzzis überhaupt einen Schimmer davon haben, was die da für digitale Sandburgen bauen?
Der Rant am Montag morgen... das tut gerade gut... :-)
|
|
|
|
|
Heute rühren wir aber alle möglichen Zutaten in einen einzigen Topf, was? Noch Restalkohol von Sylvester im Kopf ;-)
Diese Poliitk des "unter Verschluß" haltens von Vulnerabilities ist aber genau das, was NICHT hilft. Hier täte die Luftfahrtindustrie sehr gut daran aus den Erfahrungen der digitalen Welt zu lernen. Stichwort: Full Disclosure. Fehler gehören nach einer Karenzzeit z.B. 90 Tagen an die Öffentlichkeit. Länger sollte es auch nicht sein sonst nutzen Marktteilnehmer es schamlos aus.
Ich weiß nicht, wie gut Du die Software-Entwicklung im (wirklich) großen Stil kennst, aber 90 Tage halte ich für knapp. 6 Monate allerdings auch wieder für zu lang...
Im Grundsatz sind wir uns einig: Die Industrie muss hier Verfahren haben, mit solchen bekannt gewordenen Lücken zügig und sachgerecht umzugehen.
Aber bevor mir jemand mit "agile Methoden" oder "DevOps" kommt. Die betroffenen Microcodes und Betriebssysteme und vor allem deren Entwicklungsprozesse/-verfahren mit den beteiligten Stellen in den Unternehmen sind über (teilweise) Jahrzehnte "gereift" und lassen sich - meiner bescheidenen Erfahrung nach - zwar auf "agil" und "DevOps" umstellen, aber nur unter erheblichem Aufwand und nicht einfach so per Ansage der Chefs.
1. Systeme müssen offen und für jedermann zugänglich und nutzbar sein - gerade die für sicherheitsrelevante, kritische Bereiche wo Menschenleben dran hängen. Denn wenn eine Software, ein Update- oder Verschlüsselungs-Mechanismus wirklich sicher sind, dann kann man diese auch bedenkenlos veröffentlichen. Kerckhoff wurde ja oben schon genannt.
Spannende Forderung. Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? Und welchen Anreiz hätte dann ein Unternehmen, sich überhaupt noch mit sicherheitsrelevanter Software zu befassen? Alles unter staatlicher Kontrolle? Dann wird's besser?
2. Jedes remote oder mit einem Netzanschluß ausgestattete Gerät muß verbindlich ein Verfallsdatum aufgedruckt bekommen, damit gewisenhafte Hersteller die Chance erhalten, Software zu fixen und die schwarzen Schafe der Branche identifiziert werden können, die Ihren Dreck lieber billig offshore oder von Studenten machen lassen.
Cool. Und mit einem neu installierten Patch, der die Nutzbarkeit verlängert, bekommt dann jeder Anwender noch einen neuen Aufkleber mit neuem "Haltbarkeitsdatum" zum Drüberkleben zugeschickt? Echt jetzt?
Oder kommt das Ordnungsamt und prüft die termingerechte Entsorgung der Geräte?
Ja, auch ich nutze einen Router am Netz und habe dort diverse Geräte angeschlossen. Ja, ich weiß, was passieren kann, wenn jemand meinen Router hackt oder lahmlegt.
Und nein, ich habe keine smarten Türöffner, Heizungsanlage oder Fenstersteuerung. Wenn mir jemand meinen Router hackt, dann ist das so. Zum Glück bin ich mit meiner Infrastruktur anscheinend so uninteressant, dass bisher keiner meiner Rechner von irgendeinem Virus oder anderer Malware befallen wurde. Oder aber meine Familie und ich befolgen die einfachen Regeln, die man immer wieder in etwas besser informierten Medien liest (wenn man davon absieht, dass ich einmal mit etwas zu dickem Finger auf meinem Android-Smartphone auf einen kleinen unscheinbaren "hier abonnieren"-Knopf gekommen bin. Hat mich 3,99 gekostet und bin ich auch losgeworden. Lehrgeld), und die helfen dann auch. Ein Restrisiko bleibt, natürlich, aber drum werde ich meine Infrastruktur nicht abschalten.
3. Förderung des Einsatzes von Open Source Software oder noch besser: Förderung der einzelnen Projekte selbst, damit die Basis für ein Peer Review möglichst breit ist. Hinter vielen weltweit gebrauchten und wichtigen Komponenten stecken leider viel zu wenige Köpfe.
Globalgalaktische Imponierforderung. Klingt erst mal toll, aber die Umsetzbarkeit im Einzelnen wird schon etwas schwieriger: Wer soll fördern? Wer entscheidet, was gefördert wird bzw. wann eine Förderung eingestellt wird? Nach welchen Kriterien? Wie viel Geld soll zur Verfügung stehen, und wo kommt das genau noch mal her? Und wer kriegt das Geld dann eigentlich, wenn es sich um Open Source handelt. Die Mailingliste der Linux-Kernel-Entwickler ist meines Wissens recht lang...Bekommt dann jeder gleichviel, oder anhand seiner beigesteuerten Lines of Code? Wer zählt die?...Verdammt viele offene Fragen...
Aber der Druck einer auf Herrschaftswissen angewiesenen Branche
So ziemlich jede produzierende Industrie ist auf "Herrschaftswissen" angewiesen. Maschinenbau, Spielzeug, Nahrungsmittel, .... Manches davon patentiert, anderes wiederum nur im Detail (spezielle Materialien, spezielle Verfahren, spezielle Baupläne/Designs, spezielle Rezepte...), und vieles davon sicherheitsrelevant oder gesundheitsrelevant. Wo ist das Problem hier? Meines Erachtens ist das ein Teil der Geschichte von "Angebot und Nachfrage"
, inkompetente und die Relevanz des Ganzen nicht erfassende Funktionäre
Welche? Verbände/Vereine? Meinst Du ICAO, IATA und Konsorten?
und schlicht desinteressierte und noch weniger kompetente Politiker
Du hast Deinem für Deinen Wahlkreis zuständigen Bundestagsabgeordneten schon eine entsprechende Information geschickt? Mit welcher Reaktion? Ich habe so was (zu einem anderen Thema) schon mal gemacht, und es kamen interessierte und sachliche Rückfragen, woraus sich zumindest im Rahmen einer öffentlichen Veranstaltung noch ein kurzes Gespräch entwickelt hat.
Kleine Schritte, aber Schritte...
haben alle gemeinsam kein Interesse an einer Verbesserung des Status quo...
Pauschale Behauptungen sind immer richtig...oder so...
bis die ersten Script Kiddies mit Equpiment von wenigen 100 USD La Guardia oder ein paar SIDs oder STARs ein wenig nährer an Ground Zero rücken.
Ob es so einfach sein wird, sei noch mal dahin gestellt. Die hier im Thread verlinkten Folien haben mir noch nicht eindeutig nachgewiesen, dass jemand aktiv ins FMS eines im Einsatz befindlichen Fliegers unentdeckt entweder eine falsche Datenbasis oder falsche Anweisungen eingeschleust hat. Vieles deutet natürlich in die Richtung, dass das grundsätzlich klappen könnte...Aber vielleicht muss erst wirklich was passieren, bevor weitere Regeln und Kontrollen eingeführt werden. Traurig genug wäre es. Das hat das Finanzwesen aber auch (mehrfach) hinter sich und ist trotz Basel II, III, IFRS9, MARisk, etc. immer noch nicht frei von "Risiken und Nebenwirkungen".
Mir wird wirklich Angst und Bange, wenn ich solche Meldungen im Ticker lese, wo ich mich an den Kopf packe und frage, ob die BWL- und Marketing-Fuzzis überhaupt einen Schimmer davon haben, was die da für digitale Sandburgen bauen?
Und noch eine neue Zutat in den Rant-Eintopf. Kannst Du beurteilen, ob hinter dem (offensichtlichen) Marketing-Gefasel aus dieser Pressemeldung mehr steckt? Und ob das Hand und Fuß hat? Wie auch immer, mit deiner "Sicherheitsphobie" von oben hat das erst mal nix zu tun. Wenn Eurowings sich digitalisieren möchte, sollen sie das doch tun. Ob sie über ihre neue Software dann besser Tickets verkaufen, Flüge planen/auslasten und Personal verwalten können oder nicht, wird sich dann zeigen.
So lange die nicht in die Software im Cockpit eingreifen, ist doch alles gut...
So, jetzt haben wir für die nächsten Beiträge wieder Futter ;-)
Frohes Neues Jahr
Olaf
|
|
|
|
|
...bei Dir sind alle anderen immer unfaehig, Fuzzies, unwillig, uninteressiert, waehrend Du offenbar den Eindruck hast, die Weisheit fuer Dich gepachtet zu haben. Wie kommt man zu so einem Selbst- und Weltbild?
Dunning-Kruger-Effekt? Und zur Sache: Es ist ein grosser Vorteil der Digitalisierung, dass sie sich auf Grund ihrer Geschwindigkeit einer Regulierung weitgehend entzieht. Ja, das bringt Nachteile und Gefahren (anzunehmen, dass sich dessen keiner bewusst sei, ist nicht haltbar, das Netz ist doch voll davon und wie Du ja zeigst, beschaeftigen sich auch in der Peripherie der digitalen Welt taetige Entwickler mit diesen Themen - so wie ganz viele andere Menschen auch), es bringt vor allem aber auch Innovationen hervor, die offenbar von den Menschen begruesst und angenommen werden.
|
|
|
|
|
Danke, geht mir ganz genau so, Erwin. Auch schätze ich Deine Geradlinigkeit. Mit Dir (als Du noch Dein Gewerbe ausübtest) könnte ich mir sehr gut vorstellen, einfach per Handschlag perfekt zu arbeiten. Sowas geht den nachwachsenden Generationen leider immer mehr verloren.
|
|
|
|
|
Leider auch das nicht, Chris, in meinem Studiengang musste ich lediglich einen kleinen Schein in VWL erledigen (klingt ja ähnlich), da ging ich lediglich zur Prüfung, multiple choice wie beim PPL, machte meine Kreuzlein und bekam meine 5 Punkte (und musste nicht in die mündliche prüfung wie beim PPL :-), ohne dafür auch nur eine Minute mit lernen verschwendet zu haben......
|
|
|
|
|
Komm' weil gerade Kaffeepause ist:
Ich weiß nicht, wie gut Du die Software-Entwicklung im (wirklich) großen Stil kennst, aber 90 Tage halte ich für knapp. 6 Monate allerdings auch wieder für zu lang...
90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.
Die Industrie muss hier Verfahren haben, mit solchen bekannt gewordenen Lücken zügig und sachgerecht umzugehen.
Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.
Aber bevor mir jemand mit "agile Methoden" oder "DevOps" kommt. Die betroffenen Microcodes und Betriebssysteme und vor allem deren Entwicklungsprozesse/-verfahren mit den beteiligten Stellen in den Unternehmen sind über (teilweise) Jahrzehnte "gereift" und lassen sich - meiner bescheidenen Erfahrung nach - zwar auf "agil" und "DevOps" umstellen, aber nur unter erheblichem Aufwand und nicht einfach so per Ansage der Chefs.
Von Agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig. Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen. Hier erfährst Du mehr davon. Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders. Aber ich bin da der schlechteste Ansprechpartner, da ich mir den Luxus leiste, nur die Dinge anzunehmen, die mir auch gefallen und ich persönlich als sinnvoll erachte.
Spannende Forderung. Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? Und welchen Anreiz hätte dann ein Unternehmen, sich überhaupt noch mit sicherheitsrelevanter Software zu befassen? Alles unter staatlicher Kontrolle? Dann wird's besser?
In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen". Klopf mal einmal hinter die schicken Oberflächen und draufgepappten Logos. Und wen ich dabei erwische, gerade in sicherheitskritischen Bereichen mit mathematisch und wissenschaftlich bewährte Algoritmen und Verfahren rumzumurksen, der wird eigenhändig, standrechtlich virtuell erschossen. Nimm das jüngste Beispiel mit der PC-Wahl Software - was muss ich dazu noch sagen... nochmals, wenn ein Verfahren sicher ist, dann kann es auch veröffentlicht werden. Das ist anerkannter Security-Konsens. Aber solange man auf nach oben weisende GPS Antennen als Sicherheits-Feature vertraut, what possibly could go wrong?
Zum Glück bin ich mit meiner Infrastruktur anscheinend so uninteressant, dass bisher keiner meiner Rechner von irgendeinem Virus oder anderer Malware befallen wurde.
Du magst für die Welt ja uninterresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund mit, andere Websites per DDOS auszuknipsen, Spams oder Kinderpornos herumzureichen. Oder vielleicht koordiniert es als C&C auch die nächste Malware Attacke oder - wie in diesem Thread als Szenario beschrieben - programmiert ein Hacker über diesen gerade die FMCs von Airlinern um, who knows?
Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.
Wer soll fördern? Wer entscheidet, was gefördert wird bzw. wann eine Förderung eingestellt wird?
Na dann schau doch mal bei der Apache oder Document Foundation vorbei. Es gibt da zig Stiftungen und Initiativen.
So lange die nicht in die Software im Cockpit eingreifen, ist doch alles gut...
Was die Flotten längst machen, können offensichtlich andere mit minimalem Aufwand ebenfalls... es ist nicht die Frage des "ob" sondern des "wann". Und was Digitalisierung anbetrifft. Wenn Du Dir andere Branchen anschaust bedeutet "Digitalisierung" immer Erhöhung der Wertschöpfung, Kapital aus den Daten schlagen, immer mehr Druck auf die eigenen Mitarbeiter ausüben. Demnächst gibt es dann wohl auch bei uns Szenen, wie Passagiere aus überbuchten Fliegern rausgezerrt werden? Natürlich bedauert dann am Ende jeder die Situation und niemand übernimmt die Verantwortung. Der Algoritmus war's.
Nenne mir bitte ein Unternehmen, welches Digitalisierung und die damit verbundene Prozesse zur Verbesserung der Arbeitssituation der eigenen Mitarbeiter vorantreibt? Oder Kunden wirkliche Vorteile bieten möchten und nicht hinten herum mit Datenverkauf und data-driven Geschäftsfeldern übervorteilen will?
(die Kaffeepause ist um längen überzogen...)
|
|
|
|
|
90 Tage sind inoffizieller Standard und wird z.B. von Google Project Zero gelebt. Wenn ein Hersteller nicht binnen dieser Zeit patcht, wird veröffentlicht. Nur so bringt man die schwarzen Schafe zum Laufen.
Erstens inoffiziell, und zweitens darfst Du Google, die schon seit ihrer Gründung anders als "klassische" Unternehmen arbeiten, nicht mit Intel, Microsoft oder auch Apple vergleichen, was das angeht.
Die Industrie? Was soll das sein? Diese Frage könnten wir gerne weiterspinnen. Ich bitte Dich aber zuvor diese preisgekrönte, kanadische Dokumentation gesehen zu haben: The Corporation.
Ganz einfach (ohne Blick auf die Doku): Jeder Hersteller, der Produkte gegen Geld anbietet. Oder weißt Du selbst nicht mehr, auf wen Du da schimpfst?
Von agil, Scrum und wie die ganzen Yuppi Techno-Buzzwords heissen halte ich genauso wenig.
Das habe ich nicht geschrieben. Ich schrieb lediglich, dass die Umstellung darauf nicht trivial ist. Ich habe selbst durchaus die Meinung, dass diese Methoden funktionieren, nur stülpt man das einem "klassischen" Unternehmen eben nicht einfach mal so über.
Am Ende ist es nichts anderes, als alle im permanenten Notfall arbeiten zu lassen.
Das ist falsch. Viele begehen bei der Umstellung diesen Fehler, aber das ist nicht der Gedanke bei agilen Prozessen und/oder DevOps.
Hier erfährst Du mehr davon.
Nein, da erfahre ich nur von jemandem, der scheinbar unter eineim gescheiterten agilen "Versuch" gelitten hat.
Sorry, arbeiten an langfristigen und nachhaltigen Projekten geht anders.
Stimmt, es geht auch anders. Aber es geht auch agil - wenn man es richtig macht.
In den seltensten Fällen "entwickeln" Unternehmen Ihre "eigene Lösungen".
Es gibt die, die "abschreiben". Es gibt natürlich auch diejenigen, die selbst etwas (meist schlechteres) entwickeln, ohne links und rechts nach besseren verfügbaren Methoden/Lösungen für ihr Problem zu schauen.
Aber es gibt auch die, von denen abgeschrieben wird.
Du magst für die Welt ja uninerresant sein, Dein Router ist es aber sicher nicht. Denn als Bot-Mitglied hilft er im Hintergrund wunderbar mit Websites von anderen per DDOS auszuknipsen oder Spams oder Kinderpornos herumzureichen. Vielleicht koordiniert es als C&C auch die die nächste Malware Attacke, who knows?
Gut, nur weil man paranoid ist, heißt das ja nicht, das "sie" nicht hinter einem her sind. Aber wenn ich mir in diesem Bereich keine eigene Kompetenz zutraue, dann darf ich entweder nicht online gehen, oder muss einem Hersteller/Lieferanten eines Routers und seinen - mehr oder weniger regelmäßigen - Patches vertrauen.
Ein Mindesthaltbarkeitsdatum von Software hilft einem Einkäufer, egal ob daheim oder in Unternehmen herauszufinden, ob er den letzten Chinakram kauft oder ein Unternehmen, das jahrelangen Service & Support garantieren kann. Essentiell gerade dort, wo lange Produkt-Entwicklungszyklen existieren.
Zumindest in größeren Unternehmen wird Software auch mit Blick auf den Support des Herstellers ausgesucht/gekauft. Ob der Hersteller dabei verläßliche Angaben macht und diese nach dem Kauf auch noch entsprechend einhält, garantiert aber auch kein vorher aufgedrucktes "Mindesthaltbarkeitsdatum".
Oder muss ich "Office 2016" jetzt wegschmeißen, weil 2016 draufsteht? Was mache ich denn, wenn es noch kein "Office 2018" gibt?
Was die Flotten doch schon längst machen...
Die ändern aber nicht die Software in den FMS und der Avionik, oder?
Olaf
|
|
|
|
|
"...bei Dir sind alle anderen immer unfaehig, Fuzzies, unwillig, uninteressiert, waehrend Du offenbar den Eindruck hast, die Weisheit fuer Dich gepachtet zu haben."
...TJ nannte sein eigenes Posting einen "Rant". Ich würde das dann nicht alles auf die Goldwaage legen.
"Wie kommt man zu so einem Selbst- und Weltbild?"
Ist verbreitet unter Piloten.
"Dunning-Kruger-Effekt?"
Mein Eindruck ist, dass TJ in (computer-)technischen Fragen durchaus Ahnung hat. Oder wie man das heute gern nennt, "Cyber" :-)
"Und zur Sache: Es ist ein grosser Vorteil der Digitalisierung, dass sie sich auf Grund ihrer Geschwindigkeit einer Regulierung weitgehend entzieht."
Leseempfehlung: die Keynote von Charlie Strauss zum 34C3 (https://www.antipope.org/charlie/blog-static/2018/01/dude-you-broke-the-future.html). Es ist kein Vorteil, sondern ein Design Flaw der Regulierung. Mit sehr negativen Folgen.
"...es bringt vor allem aber auch Innovationen hervor, die offenbar von den Menschen begruesst und angenommen werden."
Apple-User?
|
|
|
|
|
Ja ein hervorragender Beitrag, den ich kürzlich auch ins Deutsche übersetzt hab':
https://cloud.jakobssystems.de/s/3TngTPMN7AuVE6f (direkt zum Lesen im Webbrowser)
https://cloud.jakobssystems.de/s/3TngTPMN7AuVE6f/download (als PDF Download)
@Olaf:
Mit Scrum auf Softareentwickler (oder andere kreative Berufe) zu zielen ist in etwa so, wie Künstler dazu zu verdonnern, genau zwischen 9 und 12 Uhr und dann wieder von 13 bis 17 Uhr kreativ zu sein. Und wehe die geniale Idee kommt um 12:30 Uhr oder nach 17 Uhr.
Es erzeugt Mittelmaß, eine Kultur der Geringschätzung, Selbstbeweihräucherung oder im worst-case Angst. In kleinen, schlagkräftigen Teams mit gleichberechtigten 1st Class Playern funktioniert es, ja. Auch in temporär klar abgenzbaren Projekten oder Situationen. Sobald aber der erste 2nd, oder 3rd Class hinzukommt (meist ein Vorgesetzter oder Manager) wid das unsichtbare Band zwischen den Team-Mitgliedern durchtrennt. Zumindst ist das meine Meinung, die auf einschlägigen Erfahrungen basiert. Aber wie gesagt, ich bin da auch der schlechteste Ansprechpartner.
Und zum Stichwort "Industrie" - wenn schon Chris den Link zum CCC vorgegeben hat: Hier kannst Du Dir den Schrott der Deutschen Autoindustrie anschauen in der Zukunftstechnologie eAuto. Selbstverständlich alles ISO und DIN genormt - aber der Standard ist halt Murks. Ein Staubsaugerroboter aus Fernost hat mehr Sicherheit:
https://media.ccc.de/v/34c3-9092-ladeinfrastruktur_fur_elektroautos_ausbau_statt_sicherheit
Ganz ehrlich, in der Luftfahrt-Industrie erwarte ich nichts besseres...
|
|
|
|
|
Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? ... Und wer kriegt das Geld dann eigentlich, wenn es sich um Open Source handelt?
Ich glaube, hier unterliegst Du einer verbreiteten Fehlinterpretation, was den Begriff "open source" anbetrifft:
- "open source" heißt nicht "kostenlos"
- "open source" heißt nicht "entwickelt von zahlreichen namenlosen Amateuren"
"Open source" bedeutet, daß der Quellcode der verkauften Software vom Anbieter offengelegt wird. Nicht mehr und nicht weniger. Die Nutzung der Software darf trotzdem Geld kosten. In sicherheitskritischen Bereichen ist "open source" ein Qualitätssiegel, weil Schwachstellen einfach schneller erkannt werden, wenn viele Augen unabhängig voneinander drauf schauen. AES zum Beispiel ist "open source", ebenso wie PGP oder Signal. Enigma und CSS (content scramble system) waren "proprietary", mit bekanntem Ergebnis...
|
|
|
|
|
Hi TJ, ich wollte deine Übersetzung der CCC-Keynote gerade mal ansehen, erhalte aber eine Fehlermeldung ("Zugriff verboten/App not enabled").
|
|
|
|
|
mmm gerade gegengeprüft, habe keine Probleme... und ich sitze gerade im Homeoffice und nicht im Office. Oder sitzt Du irgendwo östlich von Estland oder südlich von Italien? Meine IDS/IPS reagiert da besonders empfindlich auf geoIPs aus bestimmten Ländern... alternativ gib über PN Deine Email
|
|
|
|
|
Ich "sitze" ganz einfach in Unitymedia. IP-Adresse im Bereich 5.147.52.x
|
|
|
|
|
⇤
⇠
|
80 Beiträge Seite 3 von 4
1 2 3 4 |
⇢
⇥
|
|
|
|
|
|
|
|
|
