US-Sicherheitsfirma entdeckt Zero-Day-Exploits in Huawei-Hardware

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.968
huawei.png
Wie das US-amerikanische Sicherheitsunternehmen Finite State jetzt bekannt gab, hat man sich die Firmware von Huawei-Geräten aus dem Netzwerk-Sektor einmal genauer angeschaut. Hierbei entdeckte das Unternehmen diverse Sicherheitslücken. Bei den gefundenen Schwachstellen soll es sich sogar um Zero-Day-Exploits handeln, die auf Speicherfehlern basieren. Die Anzahl der Lücken wird in der Studie von Finite State als reichlich beschrieben. Durch die genannten Sicherheitslücken ist es möglich, aus der Ferne auf die Geräte zuzugreifen.

... weiterlesen
 
Zuletzt bearbeitet von einem Moderator:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Überraschend niedrig für diese Branche, wenn man dann mal Cisco dagegen ran zieht sieht das Echt gut aus. Wenn man natürlich dann wieder in die Realität kommt stellt man fest das die alle ausnahmslos absoluten Müll vertreiben und somit eigentlich Sicherheitskritische Netze abgeschaltet werden müssten damit die Forderungen von allen seiten umgesetzt werden.
 
Ziemlich fader Nachgeschmack hat das Ganze hier.

Jetzt wo China und die USA sich in einem Weltwirtschaftskrieg befinden.

Bin gespannt, wann die Retourkutsche aus China kommt.
 
Die Amis disqualifizieren sich bereits seit Jahren ziemlich erfolgreich selbst, da brauchts keinen Chinesen für... Und kurioserweise schließen die ständig Lücken mit fest eincodierten Passwörtern, Backdoors und ähnliches und trotzdem sind dauernd wieder welche drin. Kann mir doch keiner erzählen das die "magisch" in die Firmware wandern. Zumal ein Test ob im Quellcode irgendwo "password=" gefolgt von einer Passphrase vorkommt doch nun wirklich nicht schwer zu Programmieren ist. Zufall? ;)
 
Die Amerikaner haben ja sogar Massenvernichtungswaffen im Irak gefunden.

... no wait...
 
Also bei fast jeder anderen Firma wäre es vielleicht lesenswert.
Aber mein Vertrauen in Infos aus den USA diesbezüglich ist irgendwie etwas geschrumpft...

Was man nicht aufkaufen kann muss man schlecht machen...
 
Der größte Überwachungsstaat der Welt findet "fehler" in der Software...
 
Blablabla ... spätestens bei "amerikanischen Unternehmen" fängt die Grütze an.
Die sollen mal ihren Murks überprüfen ...
 
Über 100 Schwachstellen durchschnittlich pro Firmware in über 10.000 Images mit insgesamt 1,5 Millionen Dateien. Domain von Finite State Inc, "finitestate.io" wurde am 10. Oktober 2017 registriert. Das Unternehmen existiert also nichtmal 2 Jahre, hat also vermutlich keine 1.000 Mitarbeiter. Wenn also wirklich aktiv Pentesting betrieben wurde, stelle ich mir die Frage wie man es schafft in der Zeit so viele Firmwares auf Sicherheitslücken zu prüfen. Wenn kein Auftraggeber dahinter ist sogar unbezahlt. Selbst wenn man irgendwann anfängt sich automatisierte Tools für bereits gefundene Lücken zu schreiben, ist das ne unschaffbare Marke.
 
Zuletzt bearbeitet:
Über 100 Schwachstellen durchschnittlich pro Firmware in über 10.000 Images mit insgesamt 1,5 Millionen Dateien. Domain von Finite State Inc, "finitestate.io" wurde am 10. Oktober 2017 registriert. Das Unternehmen existiert also nichtmal 2 Jahre, hat also vermutlich keine 1.000 Mitarbeiter. Wenn also wirklich aktiv Pentesting betrieben wurde, stelle ich mir die Frage wie man es schafft in der Zeit so viele Firmwares auf Sicherheitslücken zu prüfen. Wenn kein Auftraggeber dahinter ist sogar unbezahlt. Selbst wenn man irgendwann anfängt sich automatisierte Tools für bereits gefundene Lücken zu schreiben, ist das ne unschaffbare Marke.

Hab die News Woanders Schon gelesen (was nebenbei viel Informativer war) und da wurde was von Ca.30 Mitarbeiter wobei Führende Kräfte erst Kürzlich dazu gekommen sind

Nebenbei auch andere Hersteller wie Juniper, Cisco und Arista mit ähnlichen Problemen zu kämpfen
 
Vielleicht wurden sie auch von der NSA darauf aufmerksam gemacht, die haben ja genügend Manpower, Wissen und die Technik dafür.
 
Das heißt doch eingentlich das die NSA total inkompetent ist. In den Snowden Dokumenten ist doch dokumentiert, dass die NSA Zugriff auf das Huawei Netzwerk hatte. Und ein 30 Mitarbeiter-Unternehmen schafft das, wozu die NSA nicht fähig war ? Da war aber Jemand mal sehr kreativ.
 
Wenn also wirklich aktiv Pentesting betrieben wurde, stelle ich mir die Frage wie man es schafft in der Zeit so viele Firmwares auf Sicherheitslücken zu prüfen.

Das sieht für mich nicht nach echtem Pentesting aus... Die validieren auch nicht den Code in dem Sinne, zumindest nach dem PDF nicht in der Masse der Fälle - sondern die scheinen nach so ganz banalen Themen zu suchen. Wenn man in den Details im PDF nachließt, so wurden die Aussagen zu den User/PW Geschichten durch simples suchen nach den üblichen Ablageorten für User/PW Infos im Linux/Unix based Systemen getätigt. Der Spaß steht da im Klartext drin. Genau so wie OpenSSL Versionen, Linux Kernel Versionen usw. usf.
Gekoppelt mit ner CVE-Datenbank + Softwareversionen/Stände und du bekommst solche Aussagen mit ein paar Scripten vollautomatisiert durch Parsen von Files. Die größten Herausforderungen da sind wohl noch das auspacken der Container respektive das "verstehen" der proprietären Formate/Software. Bisschen Reverse Engineering wurde wohl auch betrieben - aber der Überwiegende Teil im PDF sieht mir nicht nach all zu viel echtem Aufwand aus wenn die Basics einmal vorhanden sind.
 
Das heißt doch eingentlich das die NSA total inkompetent ist. In den Snowden Dokumenten ist doch dokumentiert, dass die NSA Zugriff auf das Huawei Netzwerk hatte. Und ein 30 Mitarbeiter-Unternehmen schafft das, wozu die NSA nicht fähig war ? Da war aber Jemand mal sehr kreativ.

Manpower heißt nicht Qualität. Darüber hinaus muss einer auch die richtige Idee haben. Wie lange hat das bei den ganzen Lücken in CPUs gedauert, bis einer die Idee hatte? Eben, ewig und es garantiert dir auch keiner, dass das nicht nur eine Eintagsfliege war.... Immer dieses Substanzlose rumgeflame, ist ja schon wie bei LoL....
 
Manpower heißt nicht Qualität. Darüber hinaus muss einer auch die richtige Idee haben. Wie lange hat das bei den ganzen Lücken in CPUs gedauert, bis einer die Idee hatte? Eben, ewig und es garantiert dir auch keiner, dass das nicht nur eine Eintagsfliege war.... Immer dieses Substanzlose rumgeflame, ist ja schon wie bei LoL....

Na da hast du wohl was nicht vestanden. Imho, glaube ich den Unsinn eben nicht.
 
Manpower heißt nicht Qualität. Darüber hinaus muss einer auch die richtige Idee haben. Wie lange hat das bei den ganzen Lücken in CPUs gedauert, bis einer die Idee hatte? Eben, ewig und es garantiert dir auch keiner, dass das nicht nur eine Eintagsfliege war.... Immer dieses Substanzlose rumgeflame, ist ja schon wie bei LoL....

Laut deinen Aussagen würde das bedeuten dass die Firmen immer für den Kunden arbeiten(nur wer ist der wahre Kunde), da bin ich aber anderer Meinung, die meisten Firmen würden sich für Geld sofort verkaufen.

Alles immer Zufall wie in diesem Video Dirk Müller - Machtbeben: Die Welt vor der größten Wirtschaftskrise aller Zeiten - YouTube
 
Das heißt doch eingentlich das die NSA total inkompetent ist. In den Snowden Dokumenten ist doch dokumentiert, dass die NSA Zugriff auf das Huawei Netzwerk hatte. Und ein 30 Mitarbeiter-Unternehmen schafft das, wozu die NSA nicht fähig war ? Da war aber Jemand mal sehr kreativ.

Woher willst du wissen, ob der NSA nicht schon längst alle Lücken bekannt waren ? Sowas würde ich als Nachrichtendienst für mich behalten und nur intern nutzen. Bei der NSA arbeiten idr die besten Mathematiker/Informatiker die der freien Markt zu bieten hat.
Mit dem locker 10-12 fachen Budget des BND lassen sich einige fähige Leute bezahlen.
 
Diese "News" ...... interessiert ansonsten wohl niemanden. ClickBait by SSK. :kotz:
Weder CB, PCGH, HEISE, Golem etc. berichten über diesen Schwachsinn.
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Außer ZDNet und winfuture bei Golem wirds Beiläufig erwähnt der Report mit eine Satz davon Abgesehen interessiert es keine mehr das an Anscheint USA und China sich bei G20 Zipfel geeinigt habe und das Embargo gegen Huawei Verschoben wird.

Blockade gegen Huawei aufgehoben – USA und China einig über neue Gespräche | heise online

Davon abgesehen es mag Vielleicht dich nicht interessieren aber es gibt Welche den Interessiert so was. Mich ebenso.
Mich interessiert es nicht, was du denkst oder dich interessiert. Dein Schreibstil ist übrigens sehr ausbaufähig.
Das Trump den Schwanz einzieht liest man auf jeder Seite. Den Rotz da oben auf höchstens drei Seiten als "Randnotiz" mit Betonung auf "heiße Luft".
 
Zuletzt bearbeitet:
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh