• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs April 2024.
    Thema: "Sprichwörtlich"
    Nur noch bis zum 30.04.2024 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
WERBUNG

News: Canons-Bildverifikationssystem geknackt

AW: News: Canons Bildverifikationssystem geknackt

Krass -- zum Glück hab ich in das System nicht all das Geld investiert! :eek:
Fragt sich jetzt, ob das per Software-Update behoben werden kann, oder ob das eine systemische Lücke ist.

Häßlich, dass das laut Artikel seit September bei Canon bekannt ist ...
 
AW: News: Canons Bildverifikationssystem geknackt

Es ist nicht wirklich eine Lücke, die da ausgenutzt wurde. Der Hacker hat einfach den geheimen Schlüssel aus dem Chip ausgelesen. Normalerweise ist dieser Schlüssel gegen Auslesen geschützt, scheinbar war dieser Schutz nicht gut genug.

Da der Schlüssel fest in die Hardware "eingebrannt" ist, kann man da auch nichts per Softwareupdate machen. Bleibt nur zu hoffen, dass Canon nicht so dumm war, und in jede Kamera den gleichen Schlüssel gespeichert hat.

Das Canon diese Problematik schon bereits seit längerem kannte aber seine Kunden nicht informiert hat, ist allerdings ein starkes Stück. Schließlich sind alle alle Fotos seit bekanntwerden des Schlüssels ohne Beweiskraft, das hätte Canon ernst nehmen müssen.

Viele Grüße,
André
 
AW: News: Canons Bildverifikationssystem geknackt

@Spacemarine2009:

• Key value is the same for all cameras of
some particular model (e.g. EOS 30D)
• Different camera models (5D, 20D, 30D)
uses different keys
Zum Vergrößern anklicken....
Stammt aus http://www.elcomsoft.com/presentations/Forging_Canon_Original_Decision_Data.pdf

Lies mal selbst, das ist wohl extrem naiv in Firmware gegossen. Hardcoded und überall gleich, so wie es sich für Snakeoil gehört.

Was mir persönlich missfällt, ist der Ratschlag den er Canon gibt:

Summary: What Canon can do?
• With currently available models – nothing
• With future models:
– Implement HMAC calculation in
cryptoprocessor which does not expose
secret key
– Prevent camera from running non-Canon’s
code to avoid illegal usage of cryptoprocessor
• Hire people who really understands
security :)
Zum Vergrößern anklicken....

Ich finde Projekte wie Magic Lantern oder CHDK gut, diese könnten durch weiter zugeschnürten pseudosecurity-mist weiter verlangsamt werden.
 
Zuletzt bearbeitet:
AW: News: Canons Bildverifikationssystem geknackt

• Hire people who really understands security
Zum Vergrößern anklicken....
Genau das dürfte der treffendste Hinweis sein ;)

Da haben sie aber gegenüber anderen Firmen einen Vorteil. Sie sind offensichtlich nicht durch den Virus "security by obscurity" verseucht, was einen Neueinstieg in Sicherheitsthemen leichter macht (wenn man denn will). Ein Gedankengut a la "security by obscurity" lässt sich nämlich gar nicht so leicht beiseite schieben, auch wenn jeder halbwegs seriöse Sicherheitsexperte bei diesem Begriff die Hände über dem Kopf zusammenschlägt.

Erwin
 
AW: News: Canons Bildverifikationssystem geknackt

Bis jetzt war´s doch immer so, daß für jedes Schloß ein Schlüssel paßt, oder passend gemacht wird. Naja und geknackt wurde auch bisher alles, was da so an Security für Daten angeboten wird. Mist ist lediglich, daß Canon darüber nicht informiert und die Leute im Regen stehen läßt. Wen wunderts ....
 
AW: News: Canons Bildverifikationssystem geknackt

Es wäre in der Tat sehr schade, wenn Canon in der Zukunft die Installation alternativer Firmware zu verhindern versuchen würde.

Am saubersten würde sich das Problem durch einen seperaten Cryptoprozessor lösen lassen (der ja auch in den bestehenden Digic Hauptprozessor integriert sein könnte, bloß halt mit eigenem Speicherbereich).

Viele Grüße,
André
 
AW: News: Canons Bildverifikationssystem geknackt

Spacemarine2009 schrieb:
Es wäre in der Tat sehr schade, wenn Canon in der Zukunft die Installation alternativer Firmware zu verhindern versuchen würde.
Zum Vergrößern anklicken....

warum sollte canon sowas zulassen? seit der eos-300D steht doch fest, dass prinzipiell die hardware in der lage ist, etwas zu tun, was die kamera von haus aus wegen die firmware eben nicht tun kann. canon wäre sehr schlecht beraten, würden sie hier ein offenes system schaffen. wer würde dann noch die teurere kamera kaufen, wenn man durch einen gratis-hack der firmware auch zu diesen funktionen kommt?
 
AW: News: Canons Bildverifikationssystem geknackt

phototipps.com schrieb:
warum sollte canon sowas zulassen? seit der eos-300D steht doch fest, dass prinzipiell die hardware in der lage ist, etwas zu tun, was die kamera von haus aus wegen die firmware eben nicht tun kann. canon wäre sehr schlecht beraten, würden sie hier ein offenes system schaffen. wer würde dann noch die teurere kamera kaufen, wenn man durch einen gratis-hack der firmware auch zu diesen funktionen kommt?
Zum Vergrößern anklicken....

Man kanns ja auch mal andersherum betrachten. Canon könnte das System offener gestalten und die Hacks einfach "App" nennen und selbst verticken. Viele Leute würden sicher "offiziellen" Apps gegenüber Wild-West-Hacks den Vorzug geben und Canon könnte damit auch noch Geld verdienen (Stichwort App-Store) Rufschädigend wäre es vermutlich auch nicht, wenn damit die Plattform "cooler" wird :)

Um den Zusammenhang mit dem Thread wiederhezustellen: Es könnte ja ein App geben, die die Security erhöht (evtl. auf Kosten der Rechenzeit, was auch immer). Dann kann jeder selbst entscheiden, was er braucht.
 
AW: News: Canons Bildverifikationssystem geknackt

phototipps.com schrieb:
warum sollte canon sowas zulassen? seit der eos-300D steht doch fest, dass prinzipiell die hardware in der lage ist, etwas zu tun, was die kamera von haus aus wegen die firmware eben nicht tun kann. canon wäre sehr schlecht beraten, würden sie hier ein offenes system schaffen. wer würde dann noch die teurere kamera kaufen, wenn man durch einen gratis-hack der firmware auch zu diesen funktionen kommt?
Zum Vergrößern anklicken....

Naja so sachen wie Chipgröße, AF-Modul, DIGIC und deren Anzahl, Gehäusegröße/art und Dichtigkeit sind nicht auf der Firmware abgelegt ;)
Canon würde sich sicher eingige Freunde machen wenn man seine Kamera mit Modulen einfach selbst erweitern könnte... da würde sich sicher in kürzester Zeit ein Communty aufbauen,...
Canon könnte sich dann auf die Hardwareentwicklung konzentrieren und den Rest macht dann die Communty, das spart Geld und Ärger...
 
AW: News: Canons Bildverifikationssystem geknackt

phototipps.com schrieb:
warum sollte canon sowas zulassen?
Zum Vergrößern anklicken....
Was heißt hier zulassen? Man wird es schlecht verhindern können. Und in dem Moment, wo die Sicherheit der Bildverifikation über den gleichen Mechanismus geschützt werden soll, wie die generelle Firmware, wird man mehr oder weniger zwangsweise wieder baden gehen.

Es stimmt wohl, was Spacemarine2009 ausführte. Für die Sicherheit der Bildverifikation braucht es eine eigene Sicherheitshardware (z.B. der angesprochene zusätzliche Cryptocontroller). Diese Sicherheit auf gleicher Ebene mit einem für jedermann zugänglichen FW-Update aufzuhängen, dürfte illusorisch sein. Und dass man für den Endkunden kein selbst durchzuführendes FW-Update mehr anbietet, kann man sich definitiv auch nicht leisten.

Erwin
 
AW: News: Canons Bildverifikationssystem geknackt

Spacemarine2009 schrieb:
Das Canon diese Problematik schon bereits seit längerem kannte aber seine Kunden nicht informiert hat, ist allerdings ein starkes Stück. Schließlich sind alle alle Fotos seit bekanntwerden des Schlüssels ohne Beweiskraft, das hätte Canon ernst nehmen müssen.
Zum Vergrößern anklicken....

Ist schon blöd für die Leute die wirklich beweisen müssen das ein Foto echt ist.
Aber für 99% aller User ist das völlig egal. Da kann ich Canon schon verstehen das sie sich erstmal bedeckt halten. Das rechtfertigt ja keine Rückrufaktion wie beim Auto, wenn es um die Sicherheit der Insassen geht.

Ich finds schon erstaunlich womit sich diese Hacker beschäftigen. Vor diesen ist wohl nichts sicher. Dieses ganze überzogene Sicherheitsgedöns, was man den Hackern zu verdanken hat, kostet unnötig viel Geld was wir im Endeffekt mitbezahlen. Schaut euch die ganze Softwareszene an. Kopierschutzmassnahmen kosten viel Geld. Zu verdanken haben wir es den Hackern.

Also schimpft nicht auf Canon (oder Nikon, usw...) sondern auf den Hacker. Diese Typen verursachen einen so immensen wirtschaftlichen Schaden, schimpft lieber auf die...


Gruß
Markus
 
Zuletzt bearbeitet:
AW: News: Canons Bildverifikationssystem geknackt

Maupi schrieb:
Also schimpft nicht auf Canon (oder Nikon, usw...) sondern auf den Hacker. Diese Typen verursachen einen so immensen wirtschaftlichen Schaden, schimpft lieber auf die...
Zum Vergrößern anklicken....

http://de.wikipedia.org/wiki/Hacker#Abgrenzung_zum_Begriff_.E2.80.9ACracker.E2.80.99

Die "bösen" Hacker sind es auch, die auf Sicherheitslücken aufmerksam machen.
Worauf die Hersteller dann meist erst reagieren und diese schließen.

Also nicht immer pauschal den Medien nach plappern! :rolleyes:
 
AW: News: Canons Bildverifikationssystem geknackt

Stallion schrieb:
Also nicht immer pauschal den Medien nach plappern! :rolleyes:
Zum Vergrößern anklicken....

Ich plapper gar nichts nach, das ist meine eigene Meinung.
Du allerdings gibst noch einen Link zum Besten. Das sieht dann eher nicht nach eigener Meinung aus... :rolleyes:
Mir ist es egal, ob Hacker oder Cracker. Beide vergreifen sich an fremdem Eigentum, welches sie nichts angeht.
Canon ist hier nicht der Bösewicht, sondern das Opfer.

Du hast deine Meinung dazu, welche ich auch akzeptiere. Aber Leuten die nicht deiner Meinung sind Nachgeplapper vorzuwerfen, finde ich dann auch daneben.

Maupi
 
AW: News: Canons Bildverifikationssystem geknackt

Maupi, ich denke eine Diskussion über "Sind Hacker schlecht oder nicht" eignet sich hier an dieser Stelle nicht.
Fakt ist: Firmen stellen hacker an um ihre Produkte sicherer zu gestalten.
Fakt ist auch, der Hack ist nun da ob wir das nun toll finden oder nicht. Also muss etwas dagegen unternommen werden...
 
AW: News: Canons Bildverifikationssystem geknackt

@Maupi

Dir wäre es also lieber, wenn es keine solchen bösen "Hacker" gäbe, die Sicherheitslücken aufdecken und deshalb z.B. verhindert wird, dass irgendwer Dein Konto leer räumt?
 
AW: News: Canons Bildverifikationssystem geknackt

Ob Hacker gut oder böse sind mag ein zweischneidiges Schwert sein.

Aus meiner Sicht kann keine Soft- oder Hardware so sicher gemacht werden, das sie nicht zu knacken ist. Wer soll das bezahlen?

Diese Hacker vergreifen sich an fremdem Eigentum und legimitieren sich damit selber die Jobs in der Industrie, um das dann zu verhindern. Sorry, aber da habe ich so meine Schwierigkeiten das Hackerdasein gut zu finden.
Dann kann ich auch in jedes Auto ne Beule treten und ritze dann ein Reparaturangebot in den Lack.

Dynrodén schrieb:
Dir wäre es also lieber, wenn es keine solchen bösen "Hacker" gäbe, die Sicherheitslücken aufdecken und deshalb z.B. verhindert wird, dass irgendwer Dein Konto leer räumt?
Zum Vergrößern anklicken....
Wer macht es denn überhaupt möglich, das so etwas überhaupt geht? Ist da vielleicht ein Hacker im Spiel?

Im Endeffekt ist immer die Firma oder der Eigentümer der Blöde, an welchem Eigentum sich vergriffen wird.
Die Diskussion soll sicher nicht in diese Richtung gehen, ich wollte nur anmerken das es auch eine andere Seite gibt. Und das ist nicht mal Offtopic.

Danke
Markus
 
Zuletzt bearbeitet:
AW: News: Canons Bildverifikationssystem geknackt

-DaKo- schrieb:
Das möchte ich unterstreichen und vorausschauend darum bitten, dass hier keine Anleitungen zur Manipulation noch Links auf solche gepostet werden!
Zum Vergrößern anklicken....

Die Bildmanipulation in Kombination mit einer (zu Unrecht) glaubwürdigen Verifizierung kann enorme Probleme für Einzelpersonen oder Menschengruppen verursachen. Daher ist es wichtig, dass man an dieser Stelle nach einer Sicherheitslücke gesucht und anschließend veröffentlicht hat.

Diese Sorte Hacker stellt IT-Sicherheit überhaupt erst her. Die Bedienungsanleitung vom Hersteller reicht als Informationquelle nicht aus. Soviel ist klar.

Maupi schrieb:
Ist schon blöd für die Leute die wirklich beweisen müssen das ein Foto echt ist.
Zum Vergrößern anklicken....

Der Hack schützt die Leute, die sich vor unbemerkter Bild-Manipulation schützen wollen. Die Verifikation hatte genau diese Funktion versprochen. Canon muss jetzt ein verbessertes Produkt bringen oder sich aus dem Bereich zurückziehen.

.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
WERBUNG
Zurück
Oben Unten