Interessanter Vortrag. Ist zwar 5 Jahre her, und viele dieser Loecher moegen jetzt (bei Druckern) gestopft sein. Aber bei der Vielfalt und steigender Zahl heutiger IoT-Geraete mit andersartigen "Loechern", mag das Risiko wahrscheinlich sogar groesser geworden sein.
Die generelle Frage ist, warum so viele Geraete indirekt oder sogar direkt, und damit weitgehend ungesichert, im oeffentlichen Internet zu erreichen sind.
Das müssen sie ja garnicht sein. Anhand Ang Cuis Vortrag mit den Druckern sieht man, dass eine für den Nutzer harmlos erscheinende Aktion wie das Ausdrucken eines Dokuments genügt.
- wohl meistens durch fahrlaessige Unwissenheit verursacht.
Angriffssicherheit kostet Geld, und wenn ich bei der Entwicklung Summe X ausgeben muss, um das Produkt sicher zu machen, womit ich aber kaum werben kann, nehme ich dieselbe Summe doch lieber und lasse weitere Funktionen entwickeln, mit denen sich das Produkt besser verkaufen lässt.
Und Security ist ein katz-und-maus-Spiel, man muss mehr oder minder ständig die Entwicklungen verfolgen und prüfen, ob die eigene Entwicklung von neu entdeckten Schwachstellen betroffen ist.
Dazu kommt, dass Firmen für Produkte, die ein bestimmtes Alter überschreiten, nunmal keine Unterstützung mehr anbieten wollen - oder aufgrund von Firmenpleiten oder Aufkäufen das Produkt generell nicht mehr betreut wird. Aus betriebswirtschaftlicher Sicht nachvollziehbar, denn das Geld für das Produkt, das ich vor 10 Jahren mal verkauft habe, ist ja nun schon lange weg. Und selbst wenn das Produkt vor 10 Jahren nach allen Regeln der Kunst "sicher gemacht" worden ist, konnte man damals schlicht nicht vorhersehen, welche Sicherheitslücke in den nächsten 10 Jahren bekannt werden würden.
Aber aus Konsumentensicht ist die Sache aber auch klar: da habe ich auf meinem Schreibtisch ein 10 jahre altes VoIP-Telefon stehen. Wenn es doch aber noch das tut was es soll und einwandfrei funktioniert, warum soll ich es austauschen? Das wurde ja in dem Cisco-Vortrag von Ang Cui auch gezeigt: er hat ja in einer ganzen Reihe von Modellen die Schwachstellen gefunden, aber bei einem Teil davon hat Cisco schon im Vorhinein gesagt: die sind EOL, wird nicht mehr gefixt.
