DarkOrbit Talk - Page 133

Es liegt nicht alles an Bp, viel mehr an Adobe.

Ein Zitat aus dem Do Forum.

Quote:

Fri Feb 10 2012
[l] Der Zustand der IT-Industrie ist ja schon immer bemitleidenswert, wenn es um Security und sonstige Qualit�tssicherung geht, und gerade Adobe f�llt immer wieder durch die besonders minderwertige Softwarequalit�t auf, wenn man sich deren Exploit-Statistik anguckt, und ihre Advisories. Das Ph�nomen l�sst sich bei allen gr��eren Projekten beobachten, wenn die Bugdatenbank frei zug�nglich ist. Ab einem gewissen F�llstand geben die Leute das Ziel auf, jemals bugfrei zu sein. Man ist nur noch bem�ht, die Zuwachsraten einzud�mmen, und fixt "die besonders h�ufigen" Bugs. Firefox z.B. protzt damit, dass sie "die 10 h�ufigsten Crash-Bugs" gefixt haben. Anderswo l�uft das nicht anders.

Diese Kapitulation hat sich in den letzten Jahren konzeptionell bedrohlich verschlimmert, weil die Hersteller inzwischen dazu �bergeben, von dem eh �berforderten Bug-Fix-Team Budget abzuziehen und damit Mitigations zu bauen. Sandboxing ist ein Trend, den man gerade bei allen m�glichen Browsern sehen kann. Ausgehend von Mobiltelefonen sind jetzt auch schon die regul�ren Betriebssysteme zusehends Sandbox-Umgebungen f�r die Anwendungen.

Ich halte das alles f�r Snake Oil, schlimmer noch, f�r aktiv sicherheitsreduzierend. Denn mit dem Geld, mit dem hier sinnlose Techniken eingef�hrt werden, h�tte man wunderbar Bugs fixen oder gar den Entwicklungsprozess verbessern k�nnen.

Der aktuelle H�hepunkt in diesem Kasperletheater ist der Security-Chef von Adobe (Der Br�ller! Adobe hat tats�chlich einen Security-Chef!)

Der hat sich tats�chlich hingestellt (auf einer Kaspersky-Konferenz, das passt auch mal wieder wie Arsch auf Eimer) und dem staunenden Publikum erkl�rt, dass es Adobe ja gar nicht darum geht, die Bugs zu fixen. Stattdessen sei das Ziel, das Ausnutzen der Bugs teurer zu machen. Und aus diesem Gesichtspunkt verurteilte er die Forscher, die es wagen, Papiere dar�ber zu ver�ffentlichen, wie man die sinnlosen Mitigations umgeht.

Kommt jemandem diese Argumentation bekannt vor? Genau so hat die Contentmafia es damals angestellt, dass das Umgehen von (egal wie l�cherlich schwachen) Kopierschutz-Vorrichtungen unter Strafe zu stellen.

Wir als Kunden m�ssen uns gegen diese Leute zur Wehr setzen. Kauft keine Produkte von Firmen, die lieber in Mitigations als in ordentliche Entwickler-Schulungen und Qualit�tssicherung investieren.

Falls die grotesken Aussagen von diesem Adobe-Clown demn�chst aus dem Internet verschwinden, zitiere ich sie hier mal in G�nze:

�My goal isn�t to find and fix every security bug,� Arkin argued. �I�d like to drive up the cost of writing exploits. But when researchers go public with techniques and tools to defeat mitigations, they lower that cost.�At Adobe, Arkin�s security teams have been working overtime to stem the flow of zero-day attacks against two of its most widely deployed products � Adobe Reader and Adobe Flash Player � and he made the point that too much attention is being paid these days to responding to vulnerability reports instead of focusing on blocking live exploits.

�We may fix one vulnerability that has a security characteristic but when we change that code, we are creating a path to other vulnerabilities that may cause bigger problems in the future,� he said.

Eigentlich k�nnte man den ganzen Artikel zitieren. Un-glaub-lich. Der weint da ernsthaft herum, dass Adobe ja soooo viele Bugs gemeldet kriegt, dass sie mit ihren Fixes mehr kaputtmachen als sie reparieren. Pl�tzlich geht Drucken nicht mehr und so. Das ist eine Selbstanklage von geradezu biblischen Dimensionen. Und der H�hepunkt des Unverst�ndnisses:

�We have patched hundreds of CVEs [individual vulnerabilities] over the last year. But, very, very few exploits have been written against those vulnerabilities. Over the past 24 months, we�ve seen about two dozen actual exploits,� Arkin said, making the argument that software vendors are not wisely using their security response resources.

Hey, Arkin, DAS IST DER GRUND, WIESO MAN BUGS FIXT. Damit es nicht zu Exploits kommt! Wie konnte denn bitte diese Gestalt jemals Security-Chef werden?!
H�hepunkt seiner Selbstzerfleischung ist die folgende Aussage:

Finding a bug is pretty straightforward

Aha, soso, es ist also einfach, in Adobe-Software Bugs zu finden? Wieso tut ihr da nicht was gegen?

Quelle:

[Only registered and activated users can see links. Click Here To Register...]