Heute rühren wir aber alle möglichen Zutaten in einen einzigen Topf, was? Noch Restalkohol von Sylvester im Kopf ;-)
Diese Poliitk des "unter Verschluß" haltens von Vulnerabilities ist aber genau das, was NICHT hilft. Hier täte die Luftfahrtindustrie sehr gut daran aus den Erfahrungen der digitalen Welt zu lernen. Stichwort: Full Disclosure. Fehler gehören nach einer Karenzzeit z.B. 90 Tagen an die Öffentlichkeit. Länger sollte es auch nicht sein sonst nutzen Marktteilnehmer es schamlos aus.
Ich weiß nicht, wie gut Du die Software-Entwicklung im (wirklich) großen Stil kennst, aber 90 Tage halte ich für knapp. 6 Monate allerdings auch wieder für zu lang...
Im Grundsatz sind wir uns einig: Die Industrie muss hier Verfahren haben, mit solchen bekannt gewordenen Lücken zügig und sachgerecht umzugehen.
Aber bevor mir jemand mit "agile Methoden" oder "DevOps" kommt. Die betroffenen Microcodes und Betriebssysteme und vor allem deren Entwicklungsprozesse/-verfahren mit den beteiligten Stellen in den Unternehmen sind über (teilweise) Jahrzehnte "gereift" und lassen sich - meiner bescheidenen Erfahrung nach - zwar auf "agil" und "DevOps" umstellen, aber nur unter erheblichem Aufwand und nicht einfach so per Ansage der Chefs.
1. Systeme müssen offen und für jedermann zugänglich und nutzbar sein - gerade die für sicherheitsrelevante, kritische Bereiche wo Menschenleben dran hängen. Denn wenn eine Software, ein Update- oder Verschlüsselungs-Mechanismus wirklich sicher sind, dann kann man diese auch bedenkenlos veröffentlichen. Kerckhoff wurde ja oben schon genannt.
Spannende Forderung. Aber wie willst Du dann noch die wirtschaftliche Nutzung von selbst programmierten Anwendungen ermöglichen? Sprich: Wie soll ein Unternehmen sicherheitskritische Software überhaupt noch verkaufen, wenn Du die Zugänglichkeit für jedermann forderst? Und welchen Anreiz hätte dann ein Unternehmen, sich überhaupt noch mit sicherheitsrelevanter Software zu befassen? Alles unter staatlicher Kontrolle? Dann wird's besser?
2. Jedes remote oder mit einem Netzanschluß ausgestattete Gerät muß verbindlich ein Verfallsdatum aufgedruckt bekommen, damit gewisenhafte Hersteller die Chance erhalten, Software zu fixen und die schwarzen Schafe der Branche identifiziert werden können, die Ihren Dreck lieber billig offshore oder von Studenten machen lassen.
Cool. Und mit einem neu installierten Patch, der die Nutzbarkeit verlängert, bekommt dann jeder Anwender noch einen neuen Aufkleber mit neuem "Haltbarkeitsdatum" zum Drüberkleben zugeschickt? Echt jetzt?
Oder kommt das Ordnungsamt und prüft die termingerechte Entsorgung der Geräte?
Ja, auch ich nutze einen Router am Netz und habe dort diverse Geräte angeschlossen. Ja, ich weiß, was passieren kann, wenn jemand meinen Router hackt oder lahmlegt.
Und nein, ich habe keine smarten Türöffner, Heizungsanlage oder Fenstersteuerung. Wenn mir jemand meinen Router hackt, dann ist das so. Zum Glück bin ich mit meiner Infrastruktur anscheinend so uninteressant, dass bisher keiner meiner Rechner von irgendeinem Virus oder anderer Malware befallen wurde. Oder aber meine Familie und ich befolgen die einfachen Regeln, die man immer wieder in etwas besser informierten Medien liest (wenn man davon absieht, dass ich einmal mit etwas zu dickem Finger auf meinem Android-Smartphone auf einen kleinen unscheinbaren "hier abonnieren"-Knopf gekommen bin. Hat mich 3,99 gekostet und bin ich auch losgeworden. Lehrgeld), und die helfen dann auch. Ein Restrisiko bleibt, natürlich, aber drum werde ich meine Infrastruktur nicht abschalten.
3. Förderung des Einsatzes von Open Source Software oder noch besser: Förderung der einzelnen Projekte selbst, damit die Basis für ein Peer Review möglichst breit ist. Hinter vielen weltweit gebrauchten und wichtigen Komponenten stecken leider viel zu wenige Köpfe.
Globalgalaktische Imponierforderung. Klingt erst mal toll, aber die Umsetzbarkeit im Einzelnen wird schon etwas schwieriger: Wer soll fördern? Wer entscheidet, was gefördert wird bzw. wann eine Förderung eingestellt wird? Nach welchen Kriterien? Wie viel Geld soll zur Verfügung stehen, und wo kommt das genau noch mal her? Und wer kriegt das Geld dann eigentlich, wenn es sich um Open Source handelt. Die Mailingliste der Linux-Kernel-Entwickler ist meines Wissens recht lang...Bekommt dann jeder gleichviel, oder anhand seiner beigesteuerten Lines of Code? Wer zählt die?...Verdammt viele offene Fragen...
Aber der Druck einer auf Herrschaftswissen angewiesenen Branche
So ziemlich jede produzierende Industrie ist auf "Herrschaftswissen" angewiesen. Maschinenbau, Spielzeug, Nahrungsmittel, .... Manches davon patentiert, anderes wiederum nur im Detail (spezielle Materialien, spezielle Verfahren, spezielle Baupläne/Designs, spezielle Rezepte...), und vieles davon sicherheitsrelevant oder gesundheitsrelevant. Wo ist das Problem hier? Meines Erachtens ist das ein Teil der Geschichte von "Angebot und Nachfrage"
, inkompetente und die Relevanz des Ganzen nicht erfassende Funktionäre
Welche? Verbände/Vereine? Meinst Du ICAO, IATA und Konsorten?
und schlicht desinteressierte und noch weniger kompetente Politiker
Du hast Deinem für Deinen Wahlkreis zuständigen Bundestagsabgeordneten schon eine entsprechende Information geschickt? Mit welcher Reaktion? Ich habe so was (zu einem anderen Thema) schon mal gemacht, und es kamen interessierte und sachliche Rückfragen, woraus sich zumindest im Rahmen einer öffentlichen Veranstaltung noch ein kurzes Gespräch entwickelt hat.
Kleine Schritte, aber Schritte...
haben alle gemeinsam kein Interesse an einer Verbesserung des Status quo...
Pauschale Behauptungen sind immer richtig...oder so...
bis die ersten Script Kiddies mit Equpiment von wenigen 100 USD La Guardia oder ein paar SIDs oder STARs ein wenig nährer an Ground Zero rücken.
Ob es so einfach sein wird, sei noch mal dahin gestellt. Die hier im Thread verlinkten Folien haben mir noch nicht eindeutig nachgewiesen, dass jemand aktiv ins FMS eines im Einsatz befindlichen Fliegers unentdeckt entweder eine falsche Datenbasis oder falsche Anweisungen eingeschleust hat. Vieles deutet natürlich in die Richtung, dass das grundsätzlich klappen könnte...Aber vielleicht muss erst wirklich was passieren, bevor weitere Regeln und Kontrollen eingeführt werden. Traurig genug wäre es. Das hat das Finanzwesen aber auch (mehrfach) hinter sich und ist trotz Basel II, III, IFRS9, MARisk, etc. immer noch nicht frei von "Risiken und Nebenwirkungen".
Mir wird wirklich Angst und Bange, wenn ich solche Meldungen im Ticker lese, wo ich mich an den Kopf packe und frage, ob die BWL- und Marketing-Fuzzis überhaupt einen Schimmer davon haben, was die da für digitale Sandburgen bauen?
Und noch eine neue Zutat in den Rant-Eintopf. Kannst Du beurteilen, ob hinter dem (offensichtlichen) Marketing-Gefasel aus dieser Pressemeldung mehr steckt? Und ob das Hand und Fuß hat? Wie auch immer, mit deiner "Sicherheitsphobie" von oben hat das erst mal nix zu tun. Wenn Eurowings sich digitalisieren möchte, sollen sie das doch tun. Ob sie über ihre neue Software dann besser Tickets verkaufen, Flüge planen/auslasten und Personal verwalten können oder nicht, wird sich dann zeigen.
So lange die nicht in die Software im Cockpit eingreifen, ist doch alles gut...
So, jetzt haben wir für die nächsten Beiträge wieder Futter ;-)
Frohes Neues Jahr
Olaf