• Herzlich willkommen im "neuen" DSLR-Forum!

    Wir hoffen, dass Euch das neue Design und die neuen Features gefallen und Ihr Euch schnell zurechtfindet.
    Wir werden wohl alle etwas Zeit brauchen, um uns in die neue Umgebung einzuleben. Auch für uns ist das alles neu.

    Euer DSLR-Forum-Team

  • In eigener Sache!

    Liebe Mitglieder, liebe Besucher und Gäste
    ich weiß, es ist ein leidiges Thema, aber ich muss es ansprechen: Werbung, Werbeblocker und Finanzierung des Forums.
    Bitte hier weiterlesen ...

  • DSLR-Forum Fotowettbewerb neu erfunden!
    Nach wochenlanger intensiver Arbeit an der Erneuerung des Formates unseres internen Fotowettbewerbes ist es Frosty als Moderator
    und au lait als Programmierer gelungen, unseren Wettbewerb auf ein völlig neues Level zu heben!
    Lest hier alle Infos zum DSLR-Forum Fotowettbewerb 2.0
    Einen voll funktionsfähigen Demowettbewerb kannst du dir hier ansehen.
  • Neuer Partner: AkkuShop.de
    Akkus, Ladegeräte und mehr (nicht nur) für Digitalkameras und Drohnen
  • Neuer Gutscheincode unseres Partners Schutzfolien24:
    DSLR-Forum2024
    Dauerhaft 10% Rabatt auf alle Displayschutzfolien der Eigenmarken "Upscreen", "Brotec", "Savvies".
    Der Code ist für alle Geräteklassen gültig.
  • Stimmt ab über die Sieger des DSLR-Forum Fotowettbewerbs April 2024.
    Thema: "Sprichwörtlich"
    Nur noch bis zum 30.04.2024 23:59!
    Jeder darf abstimmen!
    Zur Abstimmung und Bewertung hier lang
WERBUNG

News: Canons-Bildverifikationssystem geknackt

AW: News: Canons Bildverifikationssystem geknackt

Lochkamera schrieb:
Diese Sorte Hacker stellt IT-Sicherheit überhaupt erst her.
Zum Vergrößern anklicken....
Sehr gut auf den Punkt gebracht. (y)

Es soll ja auch Leute geben, die am liebsten den CCC verbieten wollen, weil er es wagt, (unangenehme) Missstände aufzuzeigen.
Organisationen vom Schlage eines CCC kann es nicht genug geben. Dagegen ist ein BSI in der Art wie es agiert, eigentlich schon eines zuviel.

Erwin
 
AW: News: Canons Bildverifikationssystem geknackt

Maupi schrieb:
Wer macht es denn überhaupt möglich, das so etwas überhaupt geht? Ist da vielleicht ein Hacker im Spiel?
Zum Vergrößern anklicken....

Meistens Programmierer, die unter Zeitmangel oder schlechter Bezahlung leiden und deshalb nicht alle Sicherheitsaspekte testen können und/oder wollen. Teilweise wird dem Sicherheitsaspekt schon bei der Planung zu wenig Beachtung geschenkt.
Und jetzt darfst Du mir erklären, wo sich der böse Hacker versteckt.
 
AW: News: Canons Bildverifikationssystem geknackt

Maupi schrieb:
Ist schon blöd für die Leute die wirklich beweisen müssen das ein Foto echt ist.
Aber für 99% aller User ist das völlig egal. Da kann ich Canon schon verstehen das sie sich erstmal bedeckt halten. Das rechtfertigt ja keine Rückrufaktion wie beim Auto, wenn es um die Sicherheit der Insassen geht.
Zum Vergrößern anklicken....

Wieso sollte man die Kameras zurückrufen? Wie du schon schreibst, ist diese Funktion für 99% (und wahrscheinlich noch mehr) der Benutzer völlig irellevant. Die korrekte Verhaltensweise wäre also gewesen, die Leute öffentlich über die Problematik zu informieren und den Leuten die das OSK-E3 gekauft haben und noch innerhalb der Garantiezeit sind, ihr Geld zurück zu erstatten.

So aber gaukelt Canon Sicherheit vor, wo keine ist.

Maupi schrieb:
Schaut euch die ganze Softwareszene an. Kopierschutzmassnahmen kosten viel Geld. Zu verdanken haben wir es den Hackern.
Zum Vergrößern anklicken....

Nein, Kopierschutzmaßnahmen werden aufgrund der Raubkopierer eingesetzt. Oder glaubst du die Industrie würde die Kopierschutzmaßnahmen nur einbauen, damit die Hacker was zum spielen haben?

Maupi schrieb:
Aus meiner Sicht kann keine Soft- oder Hardware so sicher gemacht werden, das sie nicht zu knacken ist. Wer soll das bezahlen?
Zum Vergrößern anklicken....

Es gibt anerkannte Kryptograpie-Verfahren, die nicht knackbar sind, solange nicht in der Mathematik bedeutende Fortschritte gemacht werden. Die Aussage "Es gibt sowieso nichts, was 100% sicher ist, wenn man nur genügend kriminelle Energie investiert, kann man alles knacken" hört man dennoch leider allzu oft von Leuten die von der Materie keine Ahnung haben.

Es gibt zahlreiche kostenlose Open-Source Programme und Algorithmen, die nach momentanem Stand der Wissenschaft als unknackbar gelten, obwohl sie weltweit von den besten Kryptowisenchaftlern bis ins letzte Detail untersucht worden sind.

Sicherheit ist also mitnichten eine Frage des Geldes, sondern vielmehr eine Frage des Sachverstandes desjenigen, der sie implementiert.

Maupi schrieb:
Diese Hacker vergreifen sich an fremdem Eigentum und legimitieren sich damit selber die Jobs in der Industrie, um das dann zu verhindern.
[...]
Im Endeffekt ist immer die Firma oder der Eigentümer der Blöde, an welchem Eigentum sich vergriffen wird.
Zum Vergrößern anklicken....

Meine Kamera auf meinem Schreibtisch gehört zu 100% mir. Nicht Canon oder sonstwem, sondern mir alleine. Genauso wie die Kamera des Hackers auch ihm gehört und nicht Canon. Ob er die Kamera mit einem Hammer kaputtmacht oder den Kryptoschlüssel ausliest ist völlig egal, an fremdem Eigentum hat er sich nicht vergriffen.

Viele Grüße,
André
 
AW: News: Canons Bildverifikationssystem geknackt

Spacemarine2009 schrieb:
Sicherheit ist also mitnichten eine Frage des Geldes, sondern vielmehr eine Frage des Sachverstandes desjenigen, der sie implementiert.
Zum Vergrößern anklicken....
Im Prinzip stimmt dieser Satz, aber wiederum auch nicht ganz.

Für viele Firmen ist es nämlich eine Frage des Geldes, genau diese Leute mit Sachverstand einzustellen. Oder wenn das Marketing das eine oder andere Sicherheitsfeature verweigert, weil es beim Entwicklungsaufwand negativ zuschlägt oder das Endprodukt gar um ein paar Cent teurer werden lässt. Im Umkehrschluss wird dein Satz allerdings wieder richtig, wenn man im Vergleich dazu die Folgekosten beachtet, welche durch so eine Nichteinstellung der Fachkräfte oder das Übergehen von sinnvollen Sicherheitsimplementierungen entstehen können.

Die fehlende Sicherheitsimplementierung kommt aber in den meisten Fällen daher, dass man am falschen Ende sparen will.

Erwin
 
AW: News: Canons Bildverifikationssystem geknackt

Es weiß doch soweiso jeder, daß auf dem Mond nur mit Hasselblad und Zeiss photographiert wird. :)
 
AW: News: Canons Bildverifikationssystem geknackt

epp4 schrieb:
Im Prinzip stimmt dieser Satz, aber wiederum auch nicht ganz.

Für viele Firmen ist es nämlich eine Frage des Geldes, genau diese Leute mit Sachverstand einzustellen.
Zum Vergrößern anklicken....

Damit hast du natürlich völlig Recht, meine Aussage war etwas überspitzt formuliert. Ich meinte damit, dass selbst wenn man davon ausgeht, dass der Angreifer einen unvorstellbar großen Aufwand treiben wird um das System zu knacken, man selbst nicht in gleich großem Maße Aufwand treiben muss um das System sicher zu gestalten. Zumindest solange man anerkannte Sicherheitsverfahren korrekt implementiert und nicht auf "Security by Obscurity" setzt. Dies war nämlich die Aussage von von Maupi gewesen, als er schrieb "Wer soll das bezahlen?"

Viele Grüße,
André
 
AW: News: Canons Bildverifikationssystem geknackt

Maupi schrieb:
Aus meiner Sicht kann keine Soft- oder Hardware so sicher gemacht werden, das sie nicht zu knacken ist. Wer soll das bezahlen?

Diese Hacker vergreifen sich an fremdem Eigentum und legimitieren sich damit selber die Jobs in der Industrie, um das dann zu verhindern. Sorry, aber da habe ich so meine Schwierigkeiten das Hackerdasein gut zu finden.
Dann kann ich auch in jedes Auto ne Beule treten und ritze dann ein Reparaturangebot in den Lack.
Zum Vergrößern anklicken....

Es ist überhaupt kein Problem, sowas bezahlbar zu machen. Spiele für die kopiersichere PS3 kosten viel mehr als das identische für den extra zu sichernden PC.

Mit ein wenig Know-How kann man für alles die richtige Struktur schaffen. Verschlüsselungen kann man so auslegen, dass sie innerhalb der nächsten x Jahre nicht durch Brute Force geknackt werden können.

Hacker sind eher wie der TÜV: Sie finden Schwachstellen, die Fehler des Herstellers sind, nicht Fehler dessen, der sie gefunden hat. Wenn Dir in der KFZ-Werkstatt erzählt wird, dass ein wichtiges Teil der Bremsen vom Hersteller nicht richtig gegen Korrosion geschützt wird, das jetzt halb weggerostet ist und man Dir ein besseres Ersatzteil anbietet (oder vom Hersteller eines fordert), machst Du dann auch den TÜV oder die Werkstatt zum Schwarzen Peter?

Solange Firmen wie Siemens Software zur (u.a.) Kraftwerkssteuerung entwickeln und vertreiben, die feste Usernamen und Passwörter hard coded enthält :ugly:, damit es ein Trojaner oder Virus besonders einfach hat, oder eben Canon seine Hausaufgaben nicht gemacht hat (wobei deren Fehler wenigstens nicht dazu führen kann, dass im halben Land auf einmal kein Strom mehr ist), kann man nur froh sein, dass es "private Kontrollgremien" gibt, die mehr Sachverstand an den Tag legen. Und sich diesen Sachverstand späterhin auch mal bezahlen zu lassen ist völlig legitim. Sonst verdienen am Ende nur noch die Stümper Geld.

Gut ist auch, dass Canon durch die Veröffentlichung was tun muss. Denn hätte jemand die Verschlüsselung geknackt und das einfach für sich behalten, dafür aber einen speziellen Bildmanipulationsservice mit Echtheitszertifikat für zahlungskräftige Auftraggeber gestartet, dann würdest Du von den Medien noch mehr belogen werden, Menschen würden erpresst und weiß der Himmel noch alles.

Canon hätte so eine Implementierung einfach nicht machen dürfen. Das mag zur Zeit der ersten DSLR vielleicht noch halbwegs angemessen gewesen sein, aber doch nicht für neuere Generationen.

Schlimm finde ich vor allem das Ausmaß: Dass das auch nachträglich alle alten Bilder betrifft. Dass das jetzt die Frage aufwirft, ob nicht schon früher jemand auf die selbe Idee gekommen ist und ob nicht schon längst gefälschten Fotos als Beweis vertraut wurde.
 
Versteh ich das richtig? Die haben in jeder Kamera den gleichen Signierschlüssel ausgeliefert? Ich hoffe doch mal sehr, dass das nicht stimmt...

Edit: Scheint wirklich so zu sein, siehe hier

The private signing key has been compromised, which automatically invalidates digital signatures placed by all current models manufactured by Nikon.
Zum Vergrößern anklicken....

Wirklich ein Fail epischen Ausmaßes, alle Kameras für so ein sensibles System mit dem gleichen Key auszustatten...
 
Zuletzt bearbeitet:
AW: NIKONs Schlüssel ist auch ausgelesen

4zap schrieb:
.... und von seitens Nikon kommt nichtmal ein Kommentar
Zum Vergrößern anklicken....


So wie man eben bis heute auch kein offizielles Statement dazu gehört hat, wie sich Nikon das vorstellt wenn sie die Videofunktion ihrer Kameras zur professionelle Nutzung empfehlen, der Codec aber genau dafür nicht linzensiert ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
WERBUNG
Zurück
Oben Unten